Tokenization del motor de pagos
La Tokenization del motor de pagos le permite tokenizar los detalles de pago confidenciales del pagador. Puede almacenar un token y utilizarlo en lugar de los detalles de pago en solicitudes de transacciones posteriores enviadas al motor de pagos. Para usar la Tokenization del motor de pagos, primero debe definir la configuración del servicio de tokenización y luego aprender a crear tokens y utilizarlos en transacciones de pago y, finalmente, decidir si desea actualizar los tokens de forma automática o manual.
Casos de uso de Tokenization del motor de pagos
La Tokenization del motor de pagos es útil, por ejemplo, en los siguientes casos de uso:
Uso de un token del motor de pagos para una transacción de facturación recurrente
Estas son las etapas del uso de un token del motor de pagos para una transacción de facturación recurrente. Usted:
- Recopila los detalles de pago del pagador y los guarda como un token.
- Envía el token al motor de pagos como el instrumento de pago cada vez que un pago vence. Esto es útil si desea reducir los costos de cumplimiento de PCI. Por ejemplo, facturas de servicios públicos, membresía en un gimnasio.
Uso de un token del motor de pagos para un minorista en línea
Estas son las etapas del uso de un token del motor de pagos para un minorista en línea.
Usted debe:
- Recopilar los detalles de pago del pagador en un sitio web y guardarlos como un token con los datos del pagador.
- Presentar el identificador de cuenta enmascarado o los cuatro últimos dígitos del PAN cuando un pagador vuelve al sitio web para realizar otra compra, si se utiliza la estrategia de generación de tokens Conservar 6.4. e indicar que no es necesario que los pagadores vuelvan a introducir algunos o todos los datos de pago. Esto mejora la conveniencia y la experiencia de usuario de los pagadores cuando realizan compras en su sitio web. Por ejemplo, carritos de compras en línea, pago de facturas en línea, sitios de juegos.
Métodos y operaciones compatibles
La siguiente tabla describe los métodos de pago de integración admitidos y las operaciones para la tokenización de red.
| Métodos de integración | Métodos de pago | Operaciones |
|---|---|---|
| Todos |
Tokenización de los detalles del acuerdo de facturación únicamente.
|
El motor de pagos utiliza tokens en las siguientes operaciones:
|
Beneficios del motor de pagos Tokenization
La Tokenization del motor de pagos ofrece los siguientes beneficios:
- Reduce los costos de cumplimiento de PCI, ya que usted no administra ni almacena ningún detalle de pago.
- Reduce el fraude interno, ya que su personal tiene acceso limitado a los detalles de pago.
- Le permite actualizar los detalles de pago almacenados con respecto a un token. Esto es útil cuando los detalles de pago vencen o cambian o si el pagador desea cambiar el método de pago.
- Facilita la integración de los tokens con los sistemas que actualmente esperan números de tarjeta. Los tokens generados por el sistema pueden aparecer como números de tarjeta y aprobar comprobaciones de validación de tarjeta básicas.
- Le permite recuperar los detalles de pago desde un token. De forma predeterminada, el motor de pagos devuelve números de tarjetas enmascarados. Si desea administrar los detalles de pago sin enmascarar, comuníquese con your payment service provider (PSP), ya que afecta su cumplimiento de PCI.
- Ofrece diferentes estrategias para que el motor de pagos verifique los detalles de pago antes de almacenarlos.
- Proporciona opciones flexibles para la administración de tokens.
- Le permite compartir tokens con otros negocios.
Configuración de motor de pagos Tokenization
La siguiente figura ilustra las opciones de configuración que están disponibles para su servicio de tokenización.
Seleccione las opciones que desee y solicite a su PSP que configure el servicio de tokenización para su perfil del negocio:
- La estrategia de verificación de token define cómo el motor de pagos verifica los detalles de pago antes de almacenarlos. Los valores pueden ser:
- Básica, valida que los datos de pago que proporciona se ajustan a las normas del motor de pagos para procesar un pago con estos datos de pago. No es necesario proporcionar una moneda en la solicitud de creación del token.
- Adquirente, verifica los datos de pago mediante la realización de una solicitud VERIFY de API, para verificar los datos de pago proporcionados con el adquirente.
Advertencia: Cuando almacena un token con una solicitud de creación de token:Para transacciones de pago con dispositivo que utilizan DPAN, incluso si su estrategia de verificación de token es Adquirente, la estrategia de verificación de token vuelve automáticamente a Básica para procesar esa transacción específica.
- Debe proporcionar una moneda.
- La fuente de transacción predeterminada es el valor configurado para el vínculo de negocio-adquirente.
- Se ignora la configuración Imponer CSC para la fuente de transacción.
- Ninguno No se realiza ninguna verificación.
- La gestión de tokens define cómo se gestionan los tokens dentro del depósito. Los valores pueden ser:
- Token único, asigna un token único cada vez que usted guarda un identificador de cuenta. Por ejemplo, un número de tarjeta. Esto puede definirse como una relación de uno a muchos, entre un identificador de cuenta y los tokens.
- Identificador de cuenta único, un identificador de cuenta solo se puede almacenar con respecto a un token único. Si se hace el intento de almacenarlo con respecto a otro token, arroja un error. Si se utiliza un identificador de cuenta único, los detalles de una tarjeta solo se pueden almacenar en un token. Esto puede definirse como una relación de uno a uno, entre el identificador de cuenta y el token.
- Estrategia de generación de tokens: Define la estrategia usada para generar un token dentro del depósito. Los valores pueden ser:
- Aleatorio con Luhn: El ID del token generado es un número aleatorio. Comienza con un '9', pasa una verificación del algoritmo de Luhn (Mod-10) y excluye números de tarjetas conocidos.
- Conservar 6.4: Intenta conservar los primeros 6 y los últimos 4 dígitos y no es un número de tarjeta válido.
La siguiente tabla describe la longitud del Identificador de cuenta y los dígitos del token para un token.
Longitud del identificador de cuenta |
Dígitos de token |
|---|---|
| <=16 | 16 |
| 17 | 17 |
| 18 | 18 |
| >=19 | 19 |
La siguiente tabla describe la longitud del Identificador de cuenta y los dígitos conservados para un token.
Longitud del identificador de cuenta |
Dígitos conservados |
|---|---|
| 11 | Primeros 5 y últimos 2 |
| 12 | Primeros 5 y últimos 3 |
| 13 | Primeros 6 y últimos 3 |
| >13 | Primeros 6 y últimos 4 |
- Proporcionado por el negocio: el negocio suministra el token. El motor de pagos valida que cualquier token que proporcione el negocio sea un número de tarjeta válido.
- Adquirente Tokenization: el servicio de tokenización del adquirente proporciona el ID del token. Este servicio solo permite almacenar el número de cuenta principal de financiamiento (FPAN) en un token. Asegúrese de cumplir los siguientes requisitos previos para permitir la tokenización del adquirente:
- Establezca la estrategia de verificación de tokens para verificar los detalles de la tarjeta en Ninguna.
- Establezca la estrategia de administración de tokens para el depósito de tokens en Identificador de cuenta único.
- Su PSP lo configura solo con un vínculo de adquirente que tenga la capacidad de tokenización de adquirente.
Para obtener más información sobre la tokenización del adquirente, comuníquese con your payment service provider.
Tokenization del motor de pagos para Hosted Checkout
Prerrequisitos
- Asegúrese de que su perfil del negocio esté habilitado para pagos hospedados. Asegúrese de que tanto Hosted Checkout como Pay with Token y el servicio de tokenización correspondiente estén habilitados. Si los pagos hospedados y sus funciones no están habilitados actualmente, comuníquese con your payment service provider para obtener ayuda. Para activar los pagos hospedados y cualquier función asociada a su perfil del negocio, consulte el portal de Merchant Manager y consulte la Guía de usuario de Merchant Manager para obtener instrucciones detalladas.
- Asegúrese de que Secure Remote Commerce (Click to Pay) no esté habilitado.
- Asegúrese de seguir y utilizar la integración de Credencial en archivo. Puede encontrar instrucciones y directrices detalladas para implementar esta integración aquí:
- Actualmente,
interaction.operation=AUTHORIZEes compatible con esta funcionalidad. Próximamente habrá soporte adicional parainteraction.operation=PURCHASE. - Se debe utilizar WS API v74 o posterior.
- Actualmente,
Gestión de tokens
Para ver ejemplos de las solicitudes y respuestas de API utilizadas en la Tokenization del motor de pagos, descargue la colección de Postman.
Puede utilizar las siguientes operaciones para administrar tokens con la solución Tokenization del motor de pagos:
- CREATE OR UPDATE TOKEN: esta operación le permite crear o actualizar un token al almacenar los detalles de pago con respecto al token. El depósito de tokens del motor de pagos almacena el token tal como está configurado en su perfil del negocio.
Si utiliza la estrategia de generación de tokens proporcionada por el negocio, utilice la solicitud CREATE OR UPDATE TOKEN para crear un token. Si su PSP lo configura para usar la estrategia de generación de tokens Aleatoria con Luhn o Conservar 6.4, use en su lugar la solicitud CREATE OR UPDATE TOKEN con un token generado por el sistema. La diferencia entre las solicitudes es que en la solicitud CREATE OR UPDATE TOKEN, usted proporciona su ID de TOKEN como parámetro de ruta, mientras que en la solicitud CREATE OR UPDATE TOKEN con TOKEN generado por el sistema, el TOKEN generado por el sistema se devuelve en la respuesta en el campo TOKEN
- RETRIEVE TOKEN: le permite recuperar los detalles de pago guardados con respecto al token especificado. El motor de pagos enmascara y devuelve el identificador de la cuenta y otros datos confidenciales. El identificador de cuenta es el número de tarjeta devuelto, por ejemplo, sourceOfFunds.provided.card.number or sourceOfFunds.provided.giftCard.number.
- DELETE TOKEN: elimina el token especificado de su depósito de tokens.
- SEARCH TOKENS: busca registros de tokens que coinciden con una consulta. La consulta actualmente admite la búsqueda usando:
- Un identificador de token.
- Número de tarjeta.
- Número de tarjeta de regalo.
- Detalles de pago ACH.
- Vencimiento de la tarjeta.
- Últimos detalles actualizados.
Si la consulta coincide con muchos registros de token, puede limitar los resultados de búsqueda devueltos por página y recuperar el próximo conjunto de resultados mediante solicitudes posteriores.
Proceso de creación de tokens en métodos de integración.
El proceso de creación de tokens difiere ligeramente entre los métodos de integración:
- Hosted Checkout: Después de que el pagador haya completado la transacción de pago en la Hosted Payment Page, utilice la operación CREATE OR UPDATE TOKEN para almacenar los detalles de pago que utilizó el pagador. En la solicitud, utilice el ID de sesión recibido en la respuesta INITIATE CHECKOUT.
- Hosted Session: Después de que el pagador haya proporcionado sus detalles de pago en los campos alojados de su página de pago y usted haya actualizado la sesión con esos detalles, use la operación CREATE OR UPDATE TOKEN para almacenar los detalles de pago que utilizó el pagador. En la solicitud, utilice el ID de sesión recibido en la respuesta CREATE SESSION.
- Direct Payment y Hosted Batch: utilice la operación CREATE OR UPDATE TOKEN siempre que haya recopilado los detalles de pago del pagador y haya recibido su aprobación para almacenarlos. Proporcione los detalles de pago en la solicitud.
El motor de pagos verifica los detalles de pago utilizando la estrategia predeterminada que configura su PSP. Sin embargo, puede anular la estrategia predeterminada proporcionando un método de verificación en el campo verificationStrategy de la operación CREATE OR UPDATE TOKEN. Si la verificación es exitosa, el motor de pagos guarda los detalles de pago en un TOKEN como referencia y puede usarlos en transacciones de pago posteriores. Puede optar por volver a intentar una operación CREATE OR UPDATE TOKEN si el primer intento no arroja una respuesta.
Actualizaciones de tokens
Puede actualizar un token del siguiente modo:
- Usando la función de actualización automática del motor de pagos, consulte Token Maintenance Service.
- Solicitar manualmente al motor de pagos que realice una actualización de token utilizando el Servicio de actualización de cuentas, consulte Actualizaciones manuales de tokens.
- Actualizar solo detalles específicos del token con la operación CREATE OR UPDATE TOKEN. Por ejemplo, puede actualizar la fecha de vencimiento de una tarjeta sin modificar otros detalles. El token que suministra en la URL de solicitud identifica el token que desea actualizar. Si proporciona el mismo token como fuente de detalles de pago, el motor de pagos reutilizará sus datos previamente almacenados. Esto significa que no debe volver a capturar los detalles de pago. Al proporcionar la nueva fecha de vencimiento en la sección Detalles de tarjeta de la solicitud, el valor anula la fecha de vencimiento ya almacenada en el token (consulte Reglas de precedencia).
Solicitud de ejemplo de actualización
La siguiente solicitud de ejemplo muestra cómo actualizar solo detalles específicos en la solicitud CREATE OR UPDATE TOKEN proporcionando tanto los detalles actualizados de la tarjeta como el token existente:
El lenguaje JSON de muestra supone que anteriormente se almacenó un token con ID 9999999999999999 y que contiene un número de tarjeta y una fecha de vencimiento. El resultado de esta operación es que el token 9999999999999999 ahora tiene una fecha de vencimiento de 01/39, con el número de tarjeta que se mantiene sin cambios.
Uso de tokens en transacciones de pago
Puede utilizar tokens con las siguientes transacciones de pago:
Cree una solicitud como de costumbre para el método de integración seleccionado, pero en lugar de los detalles de pago, proporcione el ID del token en el campo sourceOfFunds.token.
Uso del actualizador de cuentas para el mantenimiento de tokens
El motor de pagos utiliza la función de actualización de cuentas proporcionada por los esquemas de tarjetas y los adquirentes para mantener los tokens actualizados:
- El Token Maintenance Service es un servicio de motor de pagos que utiliza el Actualizador de cuentas para garantizar automáticamente que los tokens utilizados para pagos recurrentes permanezcan actualizados.
- También puede solicitar manualmente al motor de pagos que verifique con el Actualizador de cuentas si un token específico está actualizado.
- Si su configuración de Tokenization del motor de pagos impide que el motor de pagos actualice un token, según sea necesario, el motor de pagos crea un token de reemplazo y lo vincula al token anterior.
Token Maintenance Service
El motor de pagos proporciona un Token Maintenance Service, el cual garantiza que los detalles de pago almacenados con respecto a un token que se usan para pagos recurrentes sean actuales, cuando sea posible, y que el procesamiento de las transacciones de pago recurrentes mediante este token posiblemente resulte exitoso.
Utilice el Token Maintenance Service si hace todo lo siguiente:
- Procesa pagos recurrentes a través del motor de pagos.
- Utiliza la Tokenization del motor de pagos para almacenar de forma segura los detalles de pago de crédito utilizados para pagos recurrentes.
- Utiliza la WS API o Batch API para administrar sus tokens y enviar transacciones para su procesamiento.
Prerrequisitos
Para usar el Token Maintenance Service, debe:
- Registrarse para la funcionalidad Actualizador de cuentas con su adquirente para los esquemas de tarjeta específicos.
- Pedirle a su PSP que habilite el Actualizador de cuentas en sus vínculos de adquirente del negocio.
- Pedirle a su PSP que habilite el Token Maintenance Service.
Actualizaciones de tokens
Para transacciones recurrentes, el motor de pagos proporciona un token y procesa la transacción a través de un adquirente habilitado para el Actualizador de cuentas. El motor de pagos determina la próxima fecha en que se utilizará el token para un pago recurrente en función del uso anterior del token en pagos recurrentes.
El motor de pagos envía una solicitud de los detalles de pago almacenados con respecto al token al servicio de Actualizador de cuentas, con la suficiente anticipación para que el motor de pagos reciba y procese una respuesta. Luego actualiza el token según la respuesta.
Las actualizaciones de tokens incluyen:
- Número de tarjeta y fecha de vencimiento.
- Fecha de vencimiento de la tarjeta.
- Marcar un token como no válido.
Operación RETRIEVE TOKEN
Utilice la operación RETRIEVE TOKEN para recuperar los detalles de pago para un token que se actualizó mediante el Actualizador de cuentas. El motor de pagos proporciona los detalles actualizados en los siguientes campos de respuesta de RETRIEVE TOKEN:
usage.lastUpdated.time: indica la fecha y hora en que el actualizador de la cuenta actualizó el token.usage.lastUpdated.source: indica la fuente de la última actualización del token. El valorGATEWAYindica que fue el token del Actualizador de cuentas o la funcionalidad Token Maintenance Service.
Operación Search Token
Mediante la operación SEARCH TOKENS, puede buscar todos los tokens que se han actualizado desde una fecha y hora especificadas. La respuesta le proporciona todos los tokens, incluidos los detalles de pago almacenados con respecto al token además de la información de uso del token, que tienen una fecha y hora de usage.lastUpdated después de la fecha y hora proporcionados en la solicitud.
Ahora puede utilizar sus procesos existentes de las siguientes maneras proporcionadas en los ejemplos:
- Actualice su sistema con el nuevo número de tarjeta enmascarado, la fecha de vencimiento o ambos que aparecen en la respuesta de la transacción.
- Comuníquese con los pagadores para obtener nuevos detalles de pago para tokens no válidos.
- Cree nuevos tokens, según sea necesario.
Tokens no válidos
El motor de pagos marca un token como no válido si una respuesta del actualizador de cuenta indica que los detalles de pago almacenados en el token no son válidos.
El motor de pagos rechaza las solicitudes de transacción que utilizan un token no válido.
Actualizaciones manuales de tokens
Si your payment service provider ha habilitado el Actualizador de cuentas en los vínculos de adquirente del negocio, puede solicitar manualmente información de actualización de la cuenta en los detalles de la tarjeta almacenados en un token. Para esto, proporcione lo siguiente en la solicitud CREATE OR UPDATE TOKEN:
verificationStrategy= ACCOUNT_UPDATERtransaction.currency
Es opcional proporcionar el objeto sourceOfFunds.
El motor de pagos recibe y procesa la respuesta del Servicio de actualización de cuentas como cuando utiliza el Token Maintenance Service. Para obtener información sobre qué incluyen las actualizaciones de tokens, tokens no válidos y cómo recuperar información de actualización de tokens, consulte Token Maintenance Service.
Tokens de reemplazo
Cuando el motor de pagos recibe una respuesta de Actualizador de cuenta de un adquirente, que indica que el número de tarjeta ha cambiado, el motor de pagos no siempre puede actualizar los detalles de la tarjeta debido a la configuración de la estrategia de generación o mantenimiento de tokens. En estas situaciones, el motor de pagos crea un nuevo token con el nuevo FPAN y vincula el nuevo token al antiguo mediante el campo replacementToken.
Escenarios de generación de tokens de reemplazo
La siguiente tabla describe los escenarios en los que se genera un token de reemplazo.
Tabla: Casos de uso de tokens de reemplazo
Tokenización de ID del acuerdo de facturación de PayPal
PayPal le permite establecer un acuerdo de facturación para un pagador, que le permite cobrar posteriormente al pagador sin el consentimiento del pagador haciendo referencia al acuerdo de facturación. El pagador solo necesita dar su consentimiento al acuerdo de facturación una vez cuando se establece. Se puede realizar o no un pago en el momento de establecer el acuerdo de facturación.
Puede tokenizar el ID del acuerdo de facturación de PayPal mediante la operación CREATE OR UPDATE TOKEN. Proporcione su ID de token en la URL de la solicitud CREATE OR UPDATE TOKEN.
Prueba de su integración
Para obtener detalles generales sobre cómo probar su integración, consulte las instrucciones de prueba dentro de cada método de integración aplicable. Para probar la Tokenization del motor de pagos, utilice su perfil de pruebas del negocio.
Cuando su PSP lo habilita y configura para la tokenización, el motor de pagos crea depósitos de tokens separados para sus perfiles del negocio de prueba y producción.
Cuando envía solicitudes de tokenización al motor de pagos utilizando su perfil de pruebas del negocio, el motor de pagos utiliza el depósito de tokens de prueba. Para crear y probar pagos usando un token, primero tokenice un número de tarjeta de prueba compatible y luego use el token creado en una operación de pago posterior. Para obtener detalles sobre la tarjeta de prueba, consulte Tarjetas de prueba.