Building Agentic Commerce #7: Card Network Adapters — Visa VIC y Mastercard Agent Pay
Como AgenticMCPStores integra Visa Intelligent Commerce (VIC) y Mastercard Agent Pay (MCAP) para dar a los agentes IA acceso a 2B+ tarjetas tokenizadas — sin ver nunca los datos de la tarjeta.
Resumen ejecutivo
Un recorrido tecnico de como AgenticMCPStores conecta agentes IA a los rieles de pago tokenizados de Visa y Mastercard — cubriendo la pila criptografica de 4 capas de VIC, el pass-through de MCAP via Stripe sin codigo adicional, gestion de consentimiento, y el modelo unificado AgentPaymentIntent que permite a los comerciantes aceptar ambos con una sola integracion.
Publicado
2026-06-16
13 min read
Autoría
Equipo editorial de MCP
Mesa editorial y de investigación
El equipo editorial de AgenticMCPStores cubre comercio agéntico, adopción de WebMCP y patrones prácticos de implementación para comercios y plataformas.
Ver perfilCategoría
developer-guide
Los agentes de IA pueden buscar productos, comparar precios y construir carritos a traves de protocolos como MCP, ACP y A2A. Pero cuando llega el momento de pagar, el agente necesita acceso a rieles de pago reales — Visa, Mastercard, las redes que procesan el 80% de las transacciones globales con tarjeta. Este post cubre como AgenticMCPStores integra ambas redes de tarjetas mediante adaptadores especificos, dando a los agentes acceso tokenizado sin exponer nunca los datos de la tarjeta.
El problema: los agentes necesitan rieles de tarjeta
Los pagos con stablecoins (x402) y el checkout nativo de protocolo (ACP, UCP) funcionan bien para flujos crypto-nativos y de plataforma. Pero la mayoria de los consumidores siguen pagando con Visa y Mastercard. Para que el comercio agentico alcance adopcion masiva, los agentes necesitan interactuar con las redes de tarjetas — de forma segura, con consentimiento del consumidor, y sin manejar numeros de tarjeta en bruto. Visa Intelligent Commerce (VIC) y Mastercard Agent Pay (MCAP) son los dos protocolos de redes de tarjetas disenados especificamente para este caso de uso.
Visa Intelligent Commerce (VIC)
VIC es la integracion directa via API de Visa para pagos agenticos. El agente crea una instruccion de compra con monto, moneda y datos del comerciante. El backend de Visa tokeniza la tarjeta via VTS (Visa Tokenization Service), la vincula al dispositivo FIDO del consumidor, y devuelve credenciales de pago — sin exponer nunca datos de la tarjeta al agente o al backend del comerciante.
Arquitectura VIC: Criptografia de 4 capas
El modelo de seguridad de VIC usa cuatro capas criptograficas: (1) Autenticacion JWE — firma RS256 + cifrado RSA-OAEP-256 con cache stale-while-revalidate (TTL 3600s, auto-renovacion 60s antes de expiracion). (2) X-Pay HMAC — verificacion de integridad a nivel de request. (3) Message-Level Encryption (MLE) — key wrapping RSA-OAEP-256 + cifrado de contenido A128GCM para confidencialidad del payload. (4) HTTPS — cifrado a nivel de transporte. Esto significa que cada llamada a la API de VIC esta firmada, cifrada a nivel de mensaje, y transmitida sobre TLS — defensa en profundidad contra ataques man-in-the-middle, replay y exfiltracion de datos.
Flujo de liquidacion VIC
El servicio de liquidacion expone tres operaciones: createInstruction() — crea una instruccion de compra VIC con monto, moneda, codigo de categoria del comerciante (MCC), frecuencia (SINGLE o recurrente WEEKLY/MONTHLY), y direccion de envio. retrieveAndConfirm() — obtiene credenciales de pago de VIC sin exponer datos de la tarjeta, luego confirma el evento de transaccion. cancelInstruction() — cancela una instruccion de compra activa. Todas las operaciones usan retry con backoff exponencial (max 3 intentos: 2s, 4s, 8s) y proteccion circuit breaker para resiliencia.
Tipos de mandato VIC
- 1Mandatos unicos (tier PRO): Instruccion de compra unica con enforcement de limite de transaccion
- 2Mandatos recurrentes (tier ENTERPRISE): Frecuencia WEEKLY o MONTHLY con reconciliacion de estado y actualizaciones via webhook
- 3Mandatos multi-comerciante (tier ENTERPRISE): El agente puede pagar en multiples comerciantes bajo una sola inscripcion del consumidor
Mastercard Agent Pay (MCAP)
MCAP toma el enfoque opuesto a VIC. En lugar de una integracion directa via API con criptografia multicapa, MCAP usa un modelo pass-through via Stripe sin codigo adicional. Si un comerciante ya tiene Stripe configurado, MCAP funciona automaticamente — el Agentic Token (un token de red de 16 digitos) se procesa como un token de tarjeta estandar a traves de los rieles existentes de Stripe. La complejidad se traslada a la verificacion de identidad del agente y la gestion de consentimiento del consumidor.
MCAP: HTTP Message Signatures (RFC 9421)
MCAP verifica la identidad del agente usando HTTP Message Signatures segun RFC 9421 con claves Ed25519. Cada solicitud de pago incluye headers Signature-Input y Signature con tag='agent-payer-auth'. El servicio de firmas parsea el header de entrada, extrae keyid/created/expires/nonce/alg, valida la firma Ed25519 contra la clave publica del agente, aplica tolerancia de clock skew (mas o menos 30 segundos), y previene ataques de replay via cache de nonce con TTL de 5 minutos. La rotacion de claves esta soportada con un periodo de gracia de 24 horas para transiciones suaves.
MCAP: Gestion de alcance de consentimiento
El servicio de consentimiento de MCAP valida cada transaccion contra el alcance de consentimiento del consumidor — monto maximo por periodo, codigos de categoria del comerciante (MCCs) permitidos, IDs de comerciante especificos, y ventanas de tiempo. El seguimiento de uso acumulado usa bloqueo optimista (condicion WHERE updatedAt) para seguridad en concurrencia. Los periodos de consentimiento (DAILY, WEEKLY, MONTHLY) se reinician automaticamente al expirar. Los consumidores pueden revocar el consentimiento en cualquier momento con efecto inmediato, asegurando que el consumidor siempre mantiene control sobre la autoridad de gasto de su agente.
VIC vs MCAP: Comparacion de arquitectura
- 1Modelo de integracion: VIC usa 6 endpoints API directos; MCAP usa pass-through de Stripe (cero config adicional)
- 2Criptografia: VIC tiene 4 capas (JWE + X-Pay + MLE + HTTPS); MCAP tiene 1 capa (firmas HTTP Ed25519)
- 3Activacion del comerciante: VIC requiere API key + certificados MLE; MCAP es automatico si Stripe esta habilitado
- 4Inscripcion: VIC usa vinculacion FIDO multi-paso por tarjeta; MCAP usa pre-inscripcion via Mastercard Agent Sign-Up
- 5Liquidacion: VIC devuelve su propio token de pago basado en credenciales; MCAP rutea a traves de tokens de red estandar de Stripe
- 6Recurrencia: VIC tiene mandatos nativos WEEKLY/MONTHLY con sincronizacion de estado; MCAP usa integracion de suscripciones de Stripe
- 7Complejidad: VIC es cripto-intensivo (7/10); MCAP esta enfocado en firmas (4/10)
- 8Autenticacion del consumidor: VIC vincula a dispositivo FIDO; MCAP delega a la app/biometria de Mastercard
Integracion unificada: El modelo AgentPaymentIntent
Tanto VIC como MCAP alimentan el mismo modelo AgentPaymentIntent — la abstraccion universal de pago de la plataforma. El Protocol Router detecta el protocolo entrante via headers (X-Protocol: VIC o Signature-Input con tag agent-payer-auth), normaliza la solicitud a traves del adaptador inbound respectivo, y la rutea al servicio de liquidacion. VIC es bidireccional (adaptadores inbound + outbound); MCAP es solo inbound ya que la liquidacion ocurre via Stripe. Ambos adaptadores implementan la interfaz IProtocolAdapter (detect, normalize, translate, healthCheck) y se registran en el PluginRegistry al iniciar el servidor.
Prioridad de deteccion de protocolo
VIC nunca se auto-selecciona como fallback — requiere inscripcion activa del consumidor y un header explicito X-Protocol: VIC. Si el header se detecta pero el consumidor no esta inscrito, la solicitud falla con un error claro. MCAP tiene friccion cero de fallback — si un comerciante tiene Stripe configurado, las solicitudes de pago MCAP se aceptan automaticamente. Ambos protocolos pasan por el motor de politicas KYAI unificado para limites de gasto, verificacion de comerciante y scoring de confianza del agente antes de la liquidacion.
Control por tier
- 1Tier PRO: Mandatos unicos VIC + pagos basicos de agente MCAP
- 2Tier ENTERPRISE: Mandatos recurrentes VIC + multi-comerciante + gestion de consentimiento MCAP
- 3Ambos usan el patron de middleware requireTier() consistente con todos los demas adaptadores de protocolo
Cobertura combinada: 80% de pagos globales con tarjeta
Juntos, VIC y MCAP proporcionan cobertura para aproximadamente 2 mil millones de tarjetas tokenizadas globalmente — los 1B+ de Visa y los 1B+ de Mastercard. Combinado con pagos stablecoin x402, checkout nativo ACP, y flujos estandarizados UCP, AgenticMCPStores ofrece la cobertura de pago mas completa en comercio agentico. Los comerciantes configuran sus protocolos preferidos una vez; el Protocol Router maneja la deteccion y el ruteo automaticamente.
Estado de produccion y testing
VIC (spec 014) esta completo con 200+ tests en 14 archivos de test cubriendo deteccion de adaptador, cliente API, flujo de liquidacion, cripto MLE/JWE, token manager, circuit breaker, analytics, inscripcion, mandatos recurrentes, schemas y validacion de config. Actualmente en sandbox esperando credenciales de produccion de Visa (bloqueador externo). MCAP (spec 017) esta completo con 78 tests en 6 archivos cubriendo deteccion de adaptador, verificacion de firmas RFC 9421, validacion de consentimiento, cache de nonce, schemas e integracion. MCAP esta habilitado en produccion (Railway MCAP_ENABLED=true). Ambos specs estan completamente implementados — la unica dependencia restante es la emision de credenciales de produccion de Visa para VIC.
Los adaptadores de redes de tarjetas son uno de siete protocolos de pago soportados por AgenticMCPStores. Para la pila completa — checkout nativo MCP, pagos stablecoin x402, flujos nativos ACP, checkout estandarizado UCP, mensajeria A2A agente-a-agente, y adaptadores de redes de tarjetas — consulta la serie Building Agentic Commerce en /es/blog.
Preguntas frecuentes
El agente de IA ve alguna vez el numero real de la tarjeta del consumidor?
Nunca. Tanto VIC como MCAP usan flujos de pago tokenizados. VIC crea credenciales tokenizadas via Visa Tokenization Service (VTS) con vinculacion de dispositivo FIDO — el agente solo recibe un ID de instruccion de compra. MCAP usa Agentic Tokens de 16 digitos que son tokens de red estandar procesados a traves de Stripe — ningun dato de tarjeta en bruto toca el agente o el backend del comerciante. Todos los datos de la tarjeta permanecen dentro de la infraestructura segura de la red de tarjetas.
Puede un comerciante aceptar Visa VIC y Mastercard MCAP simultaneamente?
Si. Ambos protocolos se registran como adaptadores separados en el PluginRegistry e implementan la misma interfaz IProtocolAdapter. El Protocol Router detecta que protocolo usa la solicitud entrante (via headers) y rutea al adaptador correcto. Un comerciante en tier PRO o ENTERPRISE puede aceptar pagos VIC, MCAP, x402, ACP, UCP y A2A — todo a traves de un unico endpoint MCP.
Que pasa si un consumidor revoca su consentimiento MCAP durante una transaccion?
La revocacion de consentimiento tiene efecto inmediato. Si un consumidor revoca el consentimiento via la app de Mastercard mientras un agente intenta una compra, la llamada a McapConsentService.validateAndConsume() rechazara la transaccion antes de que llegue a Stripe. El agente recibe un error claro indicando que el consentimiento fue revocado, y puede informar al usuario en consecuencia. No se crean cargos parciales.
Por que VIC requiere 4 capas criptograficas mientras MCAP solo necesita 1?
Diferencia de arquitectura. VIC es una integracion directa via API — el backend del comerciante se comunica directamente con los servidores de Visa, requiriendo verificacion criptografica end-to-end en cada capa (autenticacion, integridad, confidencialidad, transporte). MCAP usa Stripe como intermediario — Stripe ya maneja la criptografia pesada con Mastercard, asi que el comerciante solo necesita verificar la identidad del agente via HTTP Message Signatures. Las garantias de seguridad son equivalentes; la complejidad se distribuye de manera diferente.
Es Visa TAP lo mismo que VIC?
No. Visa TAP (Token and Permissions) es una iniciativa separada que Visa esta desarrollando para casos de uso agenticos mas amplios. Cuando se publique la especificacion publica de TAP, AgenticMCPStores planea extender el adaptador VIC existente en lugar de crear un nuevo adaptador de protocolo — la arquitectura esta disenada para extension incremental. TAP esta siendo monitoreado actualmente para la publicacion de su especificacion.
Fuentes y referencias
- Visa Intelligent Commerce (VIC) — Documentacion para Desarrolladores
Visa Developer Center
- Mastercard Agent Pay — Especificacion de Comercio Agentico
Mastercard Developers
- RFC 9421: HTTP Message Signatures
IETF
Artículos relacionados
developer-guide
Building Agentic Commerce #1: Checkout Multi-Protocolo — MCP + x402 + ACP en un solo flujo
Un agente, tres protocolos, un checkout. Asi es como MCP, pagos stablecoin x402 y ACP trabajan juntos para que los agentes de IA compren productos, con ejemplos de codigo que puedes ejecutar hoy.
developer-guide
Construyendo Comercio Agéntico #4: Pagos Stablecoin x402 — Cuando los Agentes Pagan en USDC
Cómo los agentes IA realizan pagos on-chain en USDC usando el protocolo x402 — liquidación multi-cadena, firmas EIP-712 y checkout con stablecoins listo para producción.
developer-guide
Building Agentic Commerce #3: Trust Scores — Cómo los Agentes Deciden a Quién Comprarle
Cuando un agente IA evalúa merchants, no lee reseñas ni reconoce logos. Lee trust scores — 12 señales verificables por máquina que determinan ranking de búsqueda, elegibilidad de checkout y fricción de pago. Así funciona el sistema.