Pocos detalles de la vida financiera han cambiado más que la forma en que se ejecutan las transacciones de pago. Las empresas, particularmente las que tramitan pagos con tarjeta están a la vanguardia de esta transformación y trabajan con datos que son el corazón del procesamiento de pagos, incluidos los números de cuenta principal o PAN.
Para las empresas, utilizar los números de cuenta principal o PAN de una manera que resulte segura y eficiente no es trivial: es un ingrediente fundamental de sus operaciones, que puede repercutir directamente sobre la reputación del negocio y la confianza de la clientela. A fin de mantener la solidez y el cumplimiento de la normativa en los sistemas de pago, las empresas deben conocer el entorno regulatorio, las medidas de seguridad y las consideraciones prácticas relativas a los PAN. Quizás parezcan conocimientos excesivamente detallados y poco útiles para los negocios, pero lo cierto es que los sistemas de pago y las iniciativas de prevención del fraude se están volviendo cada vez más complejos y omnipresentes, así que dominar sus fundamentos será un requisito indispensable para cualquier empresa que trabaje con transacciones realizadas mediante tarjetas.
A continuación vamos a analizar cómo funcionan los números de cuenta principal (o Primary Account Numbers, PAN) y otros números semejantes, qué estándares los gobiernan y cuáles son las mejores prácticas a disposición de las empresas para utilizarlos de la formal más rentable, práctica y segura.
¿De qué trata este artículo?
- ¿Qué es un número de cuenta principal (PAN)?
- ¿Cómo funcionan los números de cuenta principal?
- Comparativa: números de cuenta principal y números de cuenta
¿Qué es un número de cuenta principal (PAN)?
La denominación técnica «número de cuenta principal» (PAN, del inglés primary account number) se refiere a un número que figura en las tarjetas empleadas para realizar pagos. Se trata de una serie de dígitos, compuesta generalmente por entre 12 y 19 cifras, grabada en relieve o codificada en una tarjeta de crédito, débito o prepago, que identifica al emisor de la tarjeta y la cuenta específica que tiene asociada. El número PAN se lo asigna una entidad financiera a la cuenta bancaria de una persona titular de la tarjeta y constituye un elemento fundamental, que posibilita la comunicación entre las entidades involucradas en el procesamiento de pagos. Es muy importante cuidar la seguridad del número PAN, porque si se utiliza de forma indebida o se accede al mismo sin autorización, existe el riesgo de que se cometan transacciones fraudulentas o robo de identidades.
¿Cómo funcionan los números de cuenta principal?
Es esencial que cualquier actor implicado en el sector del procesamiento de pagos entienda cuál es el rol que desempeña el número de cuenta principal. Representa un identificador único, ubicado en el corazón de las transacciones de pago, que vincula a las personas titulares de tarjetas con los datos de sus cuentas, almacenados a su vez en la base de datos de la entidad emisora de la tarjeta.
He aquí los pasos de una transacción de pago mediante tarjeta en los que el número PAN cumple una función:
1. Iniciación de la transacción
Cuando el titular de una tarjeta inicia una transacción, el terminal de pago lee el número PAN de la tarjeta, ya sea a través de la banda magnética, del chip EMV o de la tecnología NFC (para realizar pagos sin contacto).
2. Tokenización
La tokenización potencia la seguridad en las transacciones, especialmente en entornos digitales o de tarjeta no presente (CNP). Este proceso sustituye al número PAN por un token único en cada transacción, con el fin de proteger los datos reales de la cuenta si se produjese algún riesgo para los datos de la transacción.
3. Transmisión de datos
La información de las transacciones, incluidos el número PAN, el importe y la información de la empresa, se cifran y se transmiten al banco de la empresa, también llamado banco adquirente.
4. Reenvío de información
Seguidamente, el banco adquirente envía esta información a través de una red de tarjetas a la entidad bancaria de la persona titular de la tarjeta, conocida como banco emisor o entidad emisora.
5. Comprobaciones de validación
Antes de aprobar la transacción, el banco emisor se sirve del número PAN para consultar la cuenta del titular de la tarjeta y comprueba el saldo disponible, la validez de la tarjeta y cualquier indicador potencial que apunte al riesgo de fraude.
6. Aprobación de la transacción
Después de que el banco emisor apruebe la transacción, la respuesta se transmite por la red de tarjetas al banco adquirente y, en última instancia, a la terminal del negocio. No suele tardar más que unos segundos.
El número PAN cumple un papel fundamental en el procesamiento de los pagos y las empresas deberían tomarse muy en serio la seguridad del mismo. Hay estándares de seguridad vigentes para tal efecto, como el Estándar de seguridad de los datos del Sector de las tarjetas de pagos (PCI-DSS), que ayudan a proteger los números PAN durante los protocolos de almacenamiento, procesamiento y transmisión. Entre las medidas de seguridad destacan estas:
Cifrado
Este proceso convierte los datos del número PAN en un formato codificado, ilegible para quien no tenga a su disposición la clave de descifrado. El número PAN se cifra durante la transmisión, desde el punto donde se inicia la transacción (un terminal de pago, por ejemplo) hasta las entidades financieras pertinentes. Gracias al cifrado, aunque algún delincuente o estafador logre interceptar los datos de la transacción, no podrá entenderlos ni le serán de ninguna utilidad.Truncamiento
El truncamiento (o truncado) consiste en eliminar una porción del número PAN cuando se hace visible. Por ejemplo; si te fijas en un recibo o en una pantalla de confirmación del pago, probablemente veas que todas las cifras del número PAN están sustituidas por asteriscos o «X», salvo los cuatro últimos dígitos. El truncamiento es un recurso útil para proteger al número PAN, porque procura que no se muestre completo en lugares donde existe el riesgo de que lo detecten y copien delincuentes o personas malintencionadas.Enmascaramiento
El enmascaramiento es un mecanismo similar al truncamiento, que se basa en ocultar parte del número PAN. Es habitual que se aplique cuando la persona titular de la tarjeta debe introducir el número o cuando se presenta en una pantalla. Por ejemplo, cuando introduces el número de tu tarjeta en una página web, es bastante habitual que cada dígito que escribas se reemplace por un asterisco. De ese modo, si alguien te estuviese espiando por encima del hombro o con la ayuda de un software de captura de pantalla, le resultaría imposible leer el número PAN completo.
Todas estas medidas refuerzan la confianza entre los clientes, ya que demuestran que la empresa se toma en serio la seguridad de la información de pagos. Los negocios que procesen pagos mediante tarjetas tienen la obligación de respetar estos estándares. De lo contrario, pueden ser objeto de sanciones.
Comparativa: números de cuenta principal y números de cuenta
Tanto los números de cuenta principal (PAN) como los números de cuenta sirven de identificadores únicos para cuentas financieras, pero tienen distintos usos y aplicaciones, especialmente en el contexto del procesamiento de pagos. Vamos a repasar qué diferencias clave los separan:
Número de cuenta principal
Un número PAN está compuesto por entre 12 y 19 dígitos, que se indican en una tarjeta de crédito, débito o prepago. Sirve como identificador asignado por la entidad financiera o el banco emisor de la tarjeta. El número PAN identifica la cuenta de la persona titular de esa tarjeta y también contiene información sobre el tipo de la tarjeta y su emisor.
El número PAN se usa en transacciones con tarjetas, tanto en terminales de punto de venta (POS) como para realizar pagos por Internet. El número PAN es un elemento delicado, porque habilita la comunicación entre las entidades involucradas en el procesamiento de pagos. Por ese motivo, las empresas deben extremar la seguridad al operar con esta pieza clave de la arquitectura de datos. Existen normas estándar, como la normativa del sector de pagos con tarjeta PCI-DSS, que especifican cómo se deben proteger los números PAN durante los protocolos de almacenamiento, procesamiento y transmisión.
Número de cuenta
Un número de cuenta constituye un identificador único que hace referencia a una cuenta abierta en un banco u otra entidad financiera. A diferencia del número PAN, el número de cuenta no contiene información sobre el tipo de tarjeta ni la entidad emisora de la misma. De hecho, está vinculado directamente a la cuenta bancaria de la que es titular una persona particular o una empresa. Se usa, principalmente, para realizar transacciones directas con el banco: depósitos, retiradas, transferencias, etc.
Es habitual que los números de cuenta se empleen para realizar adeudos directos, transferencias electrónicas y otras modalidades de transferencia bancaria directa. Los números de cuenta figuran en los extractos bancarios y también se pueden consultar en el portal de Internet de tu banco o a través de sus canales de atención al cliente. Aunque también es importante manipular y usar estos números con precaución, no están sujetos a unos estándares tan estrictos como los PCI-DSS que se imponen para los números PAN. ¿Por qué? Pues porque no se utilizan en las transacciones con tarjetas.
Tanto los números de cuenta como los PAN sirven de identificadores únicos, pero para distintas finalidades. Las empresas que gestionan pagos con tarjeta deben conocer y tener en cuenta los requisitos regulatorios en vigor para los números PAN y proteger esos datos. Aunque los números de cuenta son mucho más comunes en las transacciones de banca directas, las empresas implicadas en esta clase de actividad también deberían cuidar de tratarlos y manipularlos con seguridad.
Los detalles más específicos de los pagos con tarjeta, como los números PAN, pueden parecer flecos sin importancia, casi irrelevantes para el negocio. Pero la tecnología cambia y evoluciona sin cesar, y también se transforma la manera de procesar los pagos con tarjeta. Ante ese panorama, conocer y entender a fondo cada componente de estas transacciones puede brindarle una ventaja a la empresa para adaptar y perfeccionar la forma en que usan la tecnología de pagos.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Debes procurar el asesoramiento de un abogado o un contador competente con licencia para ejercer en tu jurisdicción si deseas obtener asistencia para tu situación particular.