¿Qué es la portabilidad de datos de tarjetas de crédito?

La portabilidad de datos de tarjetas de crédito es un mecanismo para transferir datos de pago de clientes, específicamente Números de Cuenta Principales, entre diferentes proveedores de servicios de pago (con consideraciones de seguridad y cumplimiento). Esto indica una posible correlación entre la diversificación de instituciones financieras para el almacenamiento de tarjetas y ciertas ventajas comerciales.

Estas son las principales características de los sistemas portátiles:

•       Exportación Segura: El sistema ofrece un proceso para exportar datos conformes con PCI a otro proveedor, sujeto a una solicitud formal.
•     Estandarización del Formato: Garantizando que los datos transferidos estén en un formato que la parte receptora pueda utilizar.
•       Compatibilidad de Tokenización: Empleando tokens que pueden ser intercambiados o redirigidos entre diferentes pasarelas de procesamiento.
•   Preservación del Cumplimiento: Manteniendo una cadena de custodia ininterrumpida que cumpla con los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

La transferencia de datos del comerciante puede influir en sus interacciones con los proveedores de pago y potencialmente implicar dependencias de procesadores o vendedores específicos. Una práctica común entre los proveedores implica sistemas de tokenización propietarios; cuando las tarjetas se almacenan con estos proveedores, los tokens resultantes suelen funcionar solo dentro de su entorno.

Cuando un comerciante se retira, el proveedor puede aplicar tarifas de salida, y la liberación de datos puede presentar consideraciones de compatibilidad de formato para varios sistemas. Finextra sugiere una posible relación entre el vendor lock-in y las empresas que experimentan una diferencia del 20% al 30% en las tarifas de procesamiento, lo que puede correlacionarse con cambios en las posiciones de negociación con su proveedor actual.

La portabilidad se ve significativamente afectada por los requisitos de PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago). Específicamente, los comerciantes a menudo evitan o tienen prohibido almacenar números de tarjetas de crédito sin cifrar en sus servidores, lo que puede reducir ciertos riesgos. En consecuencia, en lugar de manejar los datos ellos mismos, los comerciantes utilizan los servicios del proveedor que almacenan los datos y luego emiten un “token.”

En el “extremo” emisor y receptor, los proveedores deben cumplir con los estándares PCI Nivel 1 para que la migración de datos sea posible. Además, los datos deben transferirse de forma segura y cifrada durante el proceso de migración, que es un proceso “de bóveda a bóveda”. Dicha transferencia mantiene al comerciante fuera del alcance de PCI, los datos no pasan por las manos del comerciante, pero aún así permite el movimiento de los datos.

Conceptualmente, esto es una transferencia entre dos entornos seguros y separados. El comerciante solicita la migración de datos, y el proveedor actual utiliza la clave pública del nuevo proveedor (el Destino) para cifrar la base de datos de números de tarjeta.

1.   Consulta: El comerciante inicia la exportación de datos del Proveedor A.
2.   Aseguramiento: El Proveedor A protege los PAN y las fechas de caducidad mediante cifrado.
3.   Envío: Los datos se transfieren empleando SFTP seguro o una API dedicada..
4.   Recepción: El Proveedor B descifra la información y emite nuevos tokens para el uso del comerciante.

Una bóveda de tokens neutral o centralizada se refiere a una entidad tercera que está separada del entorno del procesador de pagos. En lugar de que el procesador mantenga los datos de la tarjeta, la bóveda lo hace. Cuando es necesario realizar una transacción con tarjeta, la bóveda transmite la información al procesador que el comercio ha seleccionado.

El acceso a datos portátiles permite a las empresas considerar un enfoque multi-PSP. Esto permite a un comerciante conectarse a múltiples procesadores de pagos simultáneamente. Por ejemplo, si el Procesador A ofrece una mejor tarifa para tarjetas europeas y el Procesador B es más económico para tarjetas de EE. UU., el comerciante puede dirigir las transacciones al procesador adecuado.

Aspectos a considerar al decidir sobre una estrategia de multiprocesador:

•   Alcance geográfico: ¿El proveedor ofrece métodos de pago locales?
•   Optimización de Costos: ¿Tiene la opción de “enrutamiento de menor coste” en tiempo real?
•   Sobrecarga técnica: ¿Tiene su equipo la capacidad de manejar múltiples? integraciones de API?