La tokenización es un proceso de seguridad que consiste en la sustitución de los datos sensibles de una tarjeta de crédito (como el número de cuenta primario o PAN) por una cadena de caracteres alfanuméricos única y no sensible, denominada "token".

Su importancia es fundamental para la seguridad de las transacciones. Permite procesar pagos sin que los datos reales de la tarjeta transiten o se almacenen en los servidores del comercio. Al utilizar el token en lugar de los datos de la tarjeta, la integración opera en conformidad con los estándares de seguridad PCI DSS, reduciendo significativamente la responsabilidad del comercio en caso de una brecha de seguridad.

Ambos son SDK de JavaScript para la integración del lado del cliente, pero ofrecen enfoques distintos:

• payment_sdk_stable.min.js (Método Recomendado): Corresponde al SDK más moderno. Permite la generación de un formulario dinámico y seguro que se inyecta en un elemento contenedor (div) en la página del comercio. El SDK gestiona la renderización, validación y estilización de los campos, simplificando la implementación y personalización.
• payment_stable.min.js (Método Clásico): Este SDK transforma automáticamente elementos HTML que poseen la clase .payment-form en un formulario de tarjeta de crédito. Requiere la librería jQuery como dependencia y ofrece un control más granular si los campos se predefinen en el HTML, pero su implementación es más manual.

En resumen, payment_sdk ofrece una implementación más automatizada y moderna, mientras que payment_form (clásico) es más manual y dependiente de jQuery.

Cuando una transacción requiere una autenticación adicional por parte del banco emisor (3D Secure), la API no retornará un estado success de forma inmediata. En su lugar, la respuesta inicial será un estado pending acompañado de un status_detail específico que dictará el flujo a seguir.

El procedimiento técnico es el siguiente:

1. Recepción de la Respuesta pending: Se debe analizar el valor del campo status_detail.
2. Manejo según status_detail:
   1. status_detail 35: La respuesta de la API incluirá un hidden_iframe. Es necesario renderizar este iframe invisible en el DOM de la página para que se complete una validación pasiva sin interacción del usuario.
   2. status_detail 36: La respuesta incluirá un challenge_request. Se debe redirigir al usuario a la URL proporcionada en este objeto para que complete el desafío de autenticación (ej. ingreso de un código OTP).
3. Verificación Final: Una vez completado el paso del iframe o el desafío, se debe invocar el endpoint de verificación de la transacción para obtener el estado final (success o failure).

Sí, es técnicamente posible, pero no es el método recomendado para la mayoría de los comercios. La API expone un endpoint (POST /v2/card/add) que permite añadir una tarjeta enviando sus datos directamente desde el servidor.

No obstante, este método está destinado exclusivamente a comercios que posean una certificación PCI DSS vigente, ya que implica que los datos sensibles de la tarjeta (número completo, CVC, etc.) serán procesados y manejados por los sistemas del comercio.

Para la vasta mayoría de las integraciones, el método correcto y seguro es utilizar la tokenización del lado del cliente mediante los SDK de JavaScript, ya que esto evita el manejo directo de información sensible y delega esa responsabilidad a Nuvei / Paymentez.

La tokenización es un mecanismo de seguridad que permite reemplazar los datos reales de una tarjeta por un token seguro, el cual puede ser utilizado para procesar pagos sin exponer información sensible.

Permite al comercio operar de forma segura, reducir su alcance PCI y ofrecer funcionalidades como pagos recurrentes o pagos con un solo clic, sin almacenar datos reales de tarjetas.

• Mayor seguridad
• Cumplimiento PCI simplificado
• Mejora la experiencia en pagos recurrentes o con un solo clic

No. El comercio solo gestiona tokens; los datos reales se almacenan de forma segura en la plataforma de Nuvei.

Sí. Los tokens pueden utilizarse para pagos recurrentes, suscripciones o cargos posteriores, según la configuración del comercio.

Sí. La tokenización se integra con los flujos de 3DS / OTP cuando aplica según la transacción y el emisor.

• Implementación más rápida
• Menor carga técnica
• Cumplimiento PCI simplificado

Sí. El Checkout está optimizado para desktop y dispositivos móviles.

Sí. Permite configuraciones básicas de branding, como colores y logotipo.

Sí. Soporta tarjetas de crédito, débito y tarjetas prepago.

Sí. El Checkout integra mecanismos de prevención de fraude y autenticación 3DS cuando es requerido.

Nuvei Ecuador ofrece integración mediante API REST y SDKs oficiales, permitiendo a los comercios adaptar el flujo de pago a sus necesidades técnicas y operativas, cumpliendo con los estándares de seguridad vigentes.

No.
La integración directa vía API REST está disponible únicamente para comercios que cuenten con certificación PCI DSS vigente, debido a que este tipo de integración puede implicar el manejo de información sensible de tarjetas.

Los comercios que no cuenten con certificación PCI DSS deberán utilizar obligatoriamente las soluciones seguras de Nuvei, como:

• AddCard / Tokenization
• Checkout (hospedado o embebido)

Estas opciones permiten procesar pagos sin que los datos sensibles de la tarjeta transiten o se almacenen en los sistemas del comercio.

La API de Nuvei es REST y puede ser consumida desde cualquier lenguaje o plataforma que soporte HTTPS y JSON, como Java, PHP, Python, .NET, Node.js, entre otros.

Sí. Nuvei dispone de SDKs oficiales para las siguientes plataformas:

• iOS
• Android
• Flutter
• React Native
• Web (JavaScript)

Estos SDKs permiten una integración más rápida, segura y estandarizada.

Sí. La plataforma cumple con PCI DSS y utiliza mecanismos de tokenización y cifrado para proteger la información sensible.

• API REST (solo comercios PCI): mayor control y flexibilidad del flujo de pago.
• SDK / AddCard / Checkout: reducen el alcance PCI y simplifican la integración, siendo la opción recomendada para la mayoría de comercios.

Sí. Se dispone de ambientes de pruebas (sandbox) para validar la integración antes del go-live.

Son soluciones listas para usar que permiten integrar Nuvei en plataformas de e-commerce sin desarrollos complejos.

No necesariamente. Los plugins están diseñados para una configuración sencilla, aunque se recomienda apoyo técnico para entornos productivos.

Sí. Los plugins oficiales incluyen soporte para tokenización, 3DS y validaciones de seguridad.

La personalización es más limitada en comparación con una integración directa vía API, pero suficiente para la mayoría de comercios.

Existen dos motivos principales para este rechazo:

• Los valores enviados al proceso de pago no son consistentes. Por ejemplo, existe una diferencia de IVA que no coincide con el monto total, por lo que la transacción no puede procesarse correctamente. Se recomienda validar y corregir los valores enviados.
• Se intenta procesar una transacción con una tarjeta para la cual aún no se ha establecido la afiliación bancaria (por ejemplo: Diners o American Express).

Este error ocurre cuando:

• El monto a procesar está fuera de los parámetros definidos en el proceso de afiliación.
• Las credenciales del comercio se encuentran desactivadas.

En ambos escenarios, se recomienda contactar al asesor comercial para realizar la validación correspondiente.

Sí, es técnicamente posible, pero solo está permitido para comercios con certificación PCI DSS vigente.

Para la mayoría de los comercios, el método recomendado es utilizar formularios del lado del cliente (SDK / AddCard / Checkout), ya que evitan el manejo directo de información sensible y delegan esta responsabilidad a Nuvei.