Revisé un par de aplicaciones de comercio electrónico que utilizan el mismo procesador de pagos. En ambos casos, los comerciantes almacenan tokens de tarjetas de crédito generados por el procesador de pagos para ofrecer la función "recordar esta tarjeta de crédito".
Durante la revisión noté que se genera el mismo token para ambos comerciantes para el mismo número de tarjeta de crédito de prueba. Así que parece que la generación de token es determinista entre diferentes comerciantes. Para mí, eso sería una bandera roja, ya que significa que los tokens tienen el mismo valor que los números de las tarjetas de crédito, es decir, si se los roban de la base de datos de un comerciante, pueden reutilizarse con otros comerciantes.
¿Este esquema de generación de tokens determinista se ajusta al estándar pci? He leído las Pautas de Tokenización pero no encontré ninguna frase para prohibirlo o desanimarlo explícitamente.