Solo por curiosidad, ¿cuál es el algoritmo común utilizado para tokenizar la tarjeta de crédito de un usuario? Sé que el servicio de lotes utiliza PRNG (número aleatorio). ¿Se acaba de volver a generar un número aleatorio cuando hay un conflicto? ¿Qué hay de usar UUID como token? ¿Cuáles son los pros y los contras?
La tokenización solo usa generadores de números aleatorios para generar una determinada ID y vincular esa ID a una tarjeta, no hay manera de que, por ejemplo, se pueda aplicar ingeniería inversa a la ficha de un número de tarjeta o viceversa.
A veces, los últimos 4 dígitos se mantienen como parte del token para mostrar al usuario. Esto es útil para ciertas tiendas, como Amazon, donde un usuario podría haber configurado varias tarjetas de crédito.
Normalmente, la tokenización ocurre de tal manera que la aleatoriedad y el espacio de teclas son tan grandes que los tokens en colisión son muy diferentes. En caso de que un token ya estuviera presente, solo necesita volver a generar el número aleatorio antes de ingresar a la base de datos (a menudo, las bases de datos tienen restricciones únicas en el token y se usan como claves secundarias o primarias).
Las ventajas son que puede reducir significativamente el alcance de su PCI. Por ejemplo, las bases de datos utilizadas para el análisis de los gastos de una persona no tienen que formar parte de la zona PCI, ya que no habrá datos PAN disponibles.
No hay contras. Algunos de los que podría tener es para los adquirentes de tarjetas que no desean que su servicio de asistencia tenga acceso a los números de tarjetas de sus clientes. Por lo tanto, es posible que el adquiriente deba imprimir un número de identificación adicional en la tarjeta del cliente para poder identificarlo.
Lea otras preguntas en las etiquetas credit-card token