EST. 2012 CODEGO GROUP LTD · MALTA EUIPO 018922174 PCI DSS · ADSIGO 2025 CARD DATA REVEAL SDK · v1 SAQ-D → SAQ-A · 14× MENOS CONTROLES INDEPENDIENTE DEL PROVEEDOR · MARQETA · GALILEO · STRIPE · BIN SPONSORS
Codego · Card Reveal SDK · v1 Vol. XII · Ficha de producto / Reducción del alcance PCI ● Sandbox self-service · Independiente del proveedor
01

Muestra los datos de la tarjeta.
Quédate fuera
del alcance PCI.

El Card Data Reveal SDK permite que tu aplicación muestre al titular el PAN, el CVV y la fecha de caducidad completos — sin que tus servidores, tu aplicación o tus desarrolladores toquen nunca los datos de la tarjeta. Un iframe cross-origin servido por la infraestructura certificada PCI‑DSS de Codego renderiza la tarjeta en el navegador del usuario final. La Same-Origin Policy del navegador garantiza que tu código no pueda leerla. Pasa de SAQ-D (más de 300 controles) a SAQ-A (22 controles) — sin cambiar de emisor.

Obtener clave sandbox Cómo funciona
(A) Controles PCI
22SAQ-A
(B) vs SAQ-D
14× menos
(C) Vida del token
5minutos
(D) Registro en sandbox
<30segundos
02
El problema
Por qué mostrar un PAN es tan caro
4 puntos críticos

Una sola línea de datos de tarjeta,
una auditoría de seis cifras.

Si tu aplicación alguna vez almacena, procesa o transmite un PAN completo — aunque sea para mostrarlo una sola vez en pantalla — estás dentro del cardholder data environment de PCI DSS. Eso significa SAQ-D, un encargo QSA de Nivel 1, escaneos ASV trimestrales, pruebas de penetración anuales, monitorización continua y aproximadamente entre 50.000 y 200.000 dólares al año de sobrecoste de compliance — antes de escribir una sola línea de código de producto.

A · Coste

50k–200k $ / año

Cumplimiento PCI DSS Nivel 1 enterprise: auditoría QSA, escaneos ASV, pen-tests, monitorización, personal de seguridad dedicado. Recurrente cada año.

B · Tiempo

6–12 meses bloqueados

Los nuevos programas de tarjetas suelen quedarse en cola medio año mientras compliance, infraestructura y procesos se ponen al día con una postura PCI Nivel 1.

C · Expansión del alcance

Más de 300 controles (SAQ-D)

El cuestionario SAQ-D completo arrastra sistemas adyacentes — logs, backups, estaciones de trabajo de desarrollo. Los auditores siguen encontrando más en el alcance.

D · Lock-in

Dependencia del emisor

La mayoría de los reveal SDK provienen de un único emisor (Marqeta.js, Stripe Issuing Elements, Galileo MyCardInfo) — adoptas el SDK solo adoptando al emisor.

03
Cómo funciona
Dos llamadas API, un iframe
5 pasos · 2 endpoints

Iframe cross-origin.
Del resto se encarga la Same-Origin Policy.

La garantía técnica no es una política — es el navegador. Cuando tu página incrusta un iframe cross-origin de cardview.codegotech.com, el navegador se niega a dejar que tu JavaScript lea dentro de él. Es el mismo límite que impide que sitios web arbitrarios lean tu bandeja de entrada de Gmail. El PAN se renderiza en píxeles dentro de un DOM aislado, visible para tu usuario pero inaccesible para tu código.

01 · Solicitud

POST /getCardInfo

Tu backend llama a la Card Reveal API con el identificador del titular, tus credenciales de tenant y el ID de la tarjeta. No se envía ningún dato de tarjeta.

02 · Token

URL de un solo uso

Codego devuelve un token de un solo uso de 64 caracteres hexadecimales ligado exactamente a esa tarjeta y a ese usuario, válido 5 minutos. El token se almacena con hash SHA-256; el valor en claro nunca persiste.

03 · Iframe

Tu página lo incrusta

Tu frontend inserta <iframe src="cardview.../v/<token>"> en la página. El navegador descarga el iframe directamente de Codego.

04 · Render

El PAN se renderiza en el cliente

El iframe recibe el payload cifrado, lo descifra dentro del contexto del navegador y renderiza el PAN, el CVV, el titular y la caducidad como píxeles.

05 · Auto-borrado

Borrado del DOM en 60 segundos

El viewer borra su propio DOM tras 60 segundos, bloquea los atajos de impresión y captura de pantalla y revoca el token en la primera visualización. Un replay devuelve 403.

Solicitud de ejemplo

curl -X POST https://cardapi.codegotech.com/getCardInfo \
  -H "Content-Type: application/json" \
  -d '{
    "authkey":       "<tenant_api_key>",
    "authekey":      "<base64(user:pass)>",
    "whitelabel_id": "<your_tenant_id>",
    "user_id":       "<end_user_id>",
    "web_token":     "<session_token>",
    "cid":           "<card_id>"
  }'

# response
{
  "status": true,
  "token":     "f5b3...c801",
  "image_url": "https://cardview.codegotech.com/v/f5b3...c801"
}

Abre la documentación de la sandbox → Clave gratuita, sin tarjeta de crédito. El mismo payload que en producción.

04
Reducción del alcance PCI
SAQ-D vs SAQ-A · qué cambia de verdad
Comparativa SAQ

De más de 300 controles
a 22.

SAQ-D (sin Card Reveal)
Almacena o transmite datos del titular · más de 300 controles · auditoría de Nivel 1 · 50k–200k $/año
SAQ-A (con Card Reveal)
Totalmente externalizado a un proveedor PCI DSS · 22 controles · autoevaluación · ~5k–15k $/año
Datos del titular en tu entorno
Cero. Tus servidores nunca reciben PAN, CVV ni caducidad.
Garantía de aislamiento del iframe
Same-Origin Policy del navegador. El mismo estándar que protege las sesiones bancarias, Gmail, el OAuth de GitHub.
Datos de la tarjeta en reposo
AES-256-GCM. Token con hash SHA-256. Payload cifrado anulado tras la primera visualización.
Datos de la tarjeta en tránsito
TLS 1.2+ hacia Codego. El origen del tenant nunca descifra.
Protección contra replay
UPDATE atómico de un solo uso en la BD. La segunda visita devuelve 403.
Registro de auditoría
Cada emisión / visualización / denegación se registra con IP, UA, timestamp.
05
Independiente del proveedor
Trae tu propio emisor de tarjetas
Codego o cualquier emisor

Funciona con tarjetas emitidas por
cualquiera.

La mayoría de los reveal SDK están ligados a un emisor concreto — adoptas el SDK adoptando al emisor. El Card Data Reveal SDK de Codego es diferente. Recuperamos el PAN de la fuente autoritativa de tu emisor existente en cada solicitud. No necesitas migrar tu cartera de tarjetas. No necesitas operar un token vault. No necesitas cambiar de BIN sponsor.

A · Codego

Integración nativa

Si tus tarjetas se emiten bajo un programa BIN de Codego, el reveal SDK se activa con un único toggle de administración. Cero integración adicional.

B · Procesadores principales

Marqeta · Galileo · Thredd

Conectores predefinidos para los mayores procesadores de EE. UU. y la UE. Llamamos a su API del secure element en tu nombre y servimos el resultado a través de nuestro viewer.

C · Grandes plataformas

Stripe Issuing · Adyen

Compatible con los endpoints de reveal de Stripe Issuing y Adyen Card Issuing. Tu programa de tarjetas se queda donde está.

D · BIN sponsors

Emisor o sponsor personalizado

Si tu emisor o BIN sponsor expone una API de recuperación del PAN, construimos el conector — normalmente en 2–3 días de ingeniería. Habla con nosotros.

06
Casos de uso
Quién construye con esto
4 categorías

Para equipos que
lanzan tarjetas.

A · Neobanco

Muestra la tarjeta en la app

Muestra la tarjeta virtual al usuario antes de que llegue la de plástico. Toca para copiar el CVV, ve la caducidad, todo bajo la marca de tu app — sin huella PCI.

B · Gastos / B2B

Muestra las tarjetas corporativas

Muestra a un empleado o proveedor el número de la tarjeta asignada para reservas online. Viewer de un solo uso, con registro de auditoría, allowlists de IP y origen.

C · Marketplaces

Pagos a tarjetas virtuales

Flujos de pago push-to-card en los que el destinatario ve su tarjeta virtual recién emitida. Tokenizada, con tiempo limitado, de visualización única.

D · Crypto on/off-ramp

Muestra la tarjeta de on-ramp

Tarjetas financiadas con crypto renderizadas en la UI de tu wallet. Sin vault, sin SAQ-D, sin un equipo de ingeniería convertido en equipo de compliance.

07
Cómo se compara
Codego Card Data Reveal SDK vs la categoría
5 proveedores

Alternativa a Skyflow, VGS, Basis Theory.

Skyflow, Very Good Security y Basis Theory son vaults PCI — mueves los datos de tus tarjetas a su store. Marqeta.js, Stripe Issuing Elements y Galileo MyCardInfo son reveal SDK de los emisores de tarjetas — solo puedes usarlos si ya eres su cliente de issuing. El SDK de Codego se sitúa en una posición distinta: reveal vía iframe sobre tu emisor existente, sin migración de vault.

Skyflow / VGS / Basis Theory
Vault PCI — migras los datos de las tarjetas a su store. Cross-vendor por diseño pero centrado en el vault.
Marqeta.js · Stripe Issuing Elements · Galileo MyCardInfo
Reveal SDK incluido con el emisor — solo disponible para los clientes de ese emisor. Lock-in de hecho.
Codego Card Data Reveal SDK
SDK iframe, independiente del proveedor, sin vault. Leemos de la API de recuperación del PAN de tu emisor existente.
Creado por un emisor autorizado
Codego opera programas BIN, posee la certificación PCI DSS Nivel 1 (Adsigo 2025) y respalda todo el stack.
Pruébalo sin una llamada comercial
Sandbox self-service gratuita en sandbox-cardapi.codegotech.com. El mismo payload que en producción.
08
Preguntas frecuentes
6 preguntas
6 Q&A

Card Reveal SDK FAQ.

Q1.¿Cómo reduce el Card Reveal SDK el alcance PCI DSS?
El PAN, el CVV y la caducidad del titular se renderizan dentro de un iframe cross-origin servido por la infraestructura certificada PCI DSS de Codego. Tu aplicación incrusta el iframe pero, dado que la Same-Origin Policy del navegador bloquea el acceso al DOM cross-origin, tu JavaScript nunca puede leer los datos de la tarjeta. El entorno del tenant nunca recibe, almacena ni transmite datos del titular — lo que lleva tu evaluación de SAQ-D (más de 300 controles) a SAQ-A (22 controles).
Q2.¿Funciona con emisores de tarjetas distintos de Codego?
Sí. El SDK es independiente del proveedor. Si tus tarjetas las emite Marqeta, Galileo, Thredd, Paymentology, Stripe Issuing o tu propio BIN sponsor, Codego recupera el PAN de la API del secure element del emisor en tu nombre y lo renderiza a través del mismo viewer. No necesitas cambiar de emisor para usar el reveal SDK.
Q3.¿Qué diferencia hay entre SAQ-A y SAQ-D?
El SAQ (Self-Assessment Questionnaire) es el formulario de atestación PCI DSS. SAQ-D se aplica a los comercios que almacenan, procesan o transmiten datos del titular: más de 300 controles, auditoría QSA completa, normalmente entre 30.000 y 200.000 dólares al año. SAQ-A se aplica a los comercios que externalizan por completo el tratamiento de los datos del titular a un tercero certificado PCI DSS: 22 controles, autoevaluación simplificada, un coste de cumplimiento mucho menor.
Q4.¿En qué se diferencia de Skyflow, VGS o Basis Theory?
Skyflow, Very Good Security y Basis Theory son vaults PCI — el PAN lo almacenas en ellos. El Card Data Reveal SDK de Codego no requiere mover tu card vault: leemos de la fuente autoritativa de tu emisor en cada solicitud. Además contamos con una entidad emisora europea autorizada, por lo que podemos respaldar todo el stack (BIN sponsorship + reveal SDK) sobre nuestra propia infraestructura, sin ninguna relación con proveedores separados.
Q5.¿Con qué rapidez puedo integrarlo?
El registro en la sandbox es self-service: creas una clave, copias el ejemplo curl, incrustas el iframe. La integración de extremo a extremo suele tardar 1-2 días de ingeniería. El acceso a producción requiere una revisión de compliance (los detalles de tu programa de tarjetas + el alcance de la integración) y normalmente se concede en 5 días hábiles.
Q6.¿Qué protecciones hay para evitar fugas de datos de tarjeta?
AES-256-GCM en reposo, TLS 1.2+ en tránsito. Los tokens son de un solo uso, caducan en 5 minutos y se almacenan como hashes SHA-256 (el token en claro nunca persiste). El viewer borra automáticamente el DOM tras 60 segundos, bloquea la impresión y los atajos de captura de pantalla más comunes y usa el aislamiento del iframe cross-origin. Allowlist de IP por tenant, límites de tasa, registro de auditoría completo.
09
Empieza ahora
Sandbox gratuita ya · acceso a producción en 5 días hábiles
2 caminos

Pruébalo ahora,
sin llamada comercial.

Sandbox self-service gratuita. Regístrate con tu email, obtén una clave en 30 segundos, lanza tu primera solicitud de inmediato. La sandbox devuelve 4 tarjetas de prueba predefinidas (Visa, Mastercard, Amex, Visa rechazada) y usa exactamente el mismo payload que producción — cuando estés listo, cambias una URL y estás en producción.

Codego Group LTD · Malta · Est. 2012
EUIPO 018922174 · PCI DSS Nivel 1 by Adsigo, 2025

Self-service

Prueba la sandbox

Clave gratuita, sin tarjeta de crédito, registro en 30 segundos. Incrusta el iframe en tu entorno de desarrollo hoy mismo.

Obtener clave sandbox Leer la documentación sandbox
Producción

Habla con ventas

Para allowlists a nivel de tenant, conectores de emisor personalizados y credenciales de producción. Respuesta en 24 horas.

Abrir programa banking@codegotech.com
RL
Relacionados en Codego
Otras partes del stack de Codego
5 páginas

Sigue
explorando.

A · Emisión

Emisión de tarjetas

Emisión programática de tarjetas Visa y Mastercard — programas BIN de Codego.

C · BaaS

Banking as a Service

Infraestructura bancaria completa — IBAN, SEPA, SWIFT, tarjetas en un solo stack.

D · Referencia

¿Qué es PCI DSS?

Alcance, niveles, tipos de SAQ, qué desencadena SAQ-D en lugar de SAQ-A.