Tokenização

Views: 143
0 0
Read Time:7 Minute, 58 Second

Tokenização é o processo de substituição de dados confidenciais por símbolos de identificação exclusivos que retêm todas as informações essenciais sobre os dados sem comprometer sua segurança. A tokenização, que busca minimizar a quantidade de dados que uma empresa precisa manter à mão, tornou-se uma maneira popular para as pequenas e médias empresas reforçarem a segurança das transações de cartão de crédito e comércio eletrônico, minimizando o custo e a complexidade do cumprimento das normas do setor e das regulamentações governamentais.

Exemplos de tokenização

A tecnologia de tokenização pode, em teoria, ser usada com dados confidenciais de todos os tipos, incluindo transações bancárias, registros médicos, registros criminais, informações de motoristas de veículos, pedidos de empréstimos, negociação de ações e registro de eleitores. Na maioria das vezes, qualquer sistema que um substituto pode usar como substituto para informações confidenciais pode se beneficiar da tokenização.

A tokenização é frequentemente usada para proteger dados de cartão de crédito,informações de contas bancárias e outros dados confidenciais manipulados por um processador de pagamento. Casos de uso de processamento de pagamentos que tokenizam informações confidenciais do cartão de crédito incluem:

  • carteiras móveis como Android Pay e Apple Pay;
  • sites de comércio eletrônico; E
  • empresas que mantêm o cartão de um cliente em arquivo.

Como funciona a tokenização

A tokenização substitui informações confidenciais por informações não sensíveis equivalentes. As informações não confidenciais de substituição são chamadas de token.

Os tokens podem ser criados de várias maneiras:

  • Usando uma função criptográfica matematicamente reversível com uma chave.
  • Usando uma função não possível, como uma função hash.
  • Usando uma função de índice ou número gerado aleatoriamente.

Como resultado, o token torna-se as informações expostas, e as informações confidenciais que o token representa são armazenadas com segurança em um servidor centralizado conhecido como um cofre de token. O cofre de token é o único lugar onde as informações originais podem ser mapeadas de volta ao seu token correspondente.

Alguma tokenização é sem cofre. Em vez de armazenar as informações confidenciais em um banco de dados seguro, os tokens sem cofre são armazenados usando um algoritmo. Se o token for reversível, as informações confidenciais originais geralmente não são armazenadas em um cofre.

Aqui está um exemplo real de como funciona a tokenização com um cofre de tokens.

  • Um cliente fornece seus dados de pagamento em um sistema de ponto de venda(PDV)ou formulário de checkout on-line.
  • Os detalhes, ou dados, são substituídos por um token gerado aleatoriamente, que é gerado na maioria dos casos pelo gateway de pagamentodo comerciante .
  • As informações tokenizadas são então criptografadas e enviadas para um processador de pagamento. As informações de pagamento confidenciais originais são armazenadas em um cofre de token no gateway de pagamento do comerciante. Este é o único lugar onde um token pode ser mapeado para as informações que ele representa.
  • As informações tokenizadas são criptografadas novamente pelo processador de pagamento antes de serem enviadas para verificação final.

Tokenização e PCI DSS

As normas da indústria de cartões de pagamento (PCI) não permitem que os números de cartão de crédito sejam armazenados no terminal pos de um varejista ou em seus bancos de dados após uma transação. Para ser compatível com pci,os comerciantes devem instalar sistemas de criptografia caros e de ponta a ponta ou terceirizar seu processamento de pagamento para um provedor de serviços que fornece uma opção de tokenização. O provedor de serviços lida com a emissão do valor do token e assume a responsabilidade de manter os dados do titular do cartão bloqueados.

Nesse cenário, o provedor de serviços emite ao comerciante um driver para o sistema POS que converte números de cartão de crédito em valores gerados aleatoriamente (tokens). Uma vez que o token não é um número de conta primária (PAN), ele não pode ser usado fora do contexto de uma transação única com um comerciante específico. Em uma transação de cartão de crédito, por exemplo, o token normalmente contém apenas os últimos quatro dígitos do número real do cartão. O resto do token consiste em caracteres alfanuméricos que representam informações e dados específicos do titular do cartão para a transação em andamento.

Benefícios da tokenização

A tokenização torna mais difícil para os hackers obter acesso aos dados dos titulares de cartão, em comparação com sistemas mais antigos em que os números de cartões de crédito eram armazenados em bancos de dados e trocados livremente pelas redes.

Os principais benefícios da tokenização incluem o seguinte.

  • É mais compatível com sistemas legados do que criptografia.
  • É um processo menos intensivo em recursos do que a criptografia.
  • O risco de precipitação em uma violação de dados é reduzido.
  • Isso torna a indústria de pagamentos mais conveniente, impulsionando novas tecnologias como carteiras móveis, pagamento de um clique e criptomoeda. Isso, por sua vez, aumenta a confiança do cliente porque melhora tanto a segurança quanto a conveniência do serviço de um comerciante.
  • Reduz as etapas envolvidas no cumprimento das normas PCI DSS para comerciantes.

Histórico de tokenização

A tokenização existe desde o início dos primeiros sistemas cambiais, nos quais os tokens de moeda têm sido usados há muito tempo como um substituto para moedas reais e cédulas. Tokens de metrô e tokens de cassino são exemplos disso, pois servem como substitutos para o dinheiro real. Isso é tokenização física, mas o conceito é o mesmo da tokenização digital — atuar como substituto de um ativo mais valioso.

A tokenização digital viu o uso já na década de 1970. Nos bancos de dados da época, ele era usado para separar certos dados confidenciais de outros dados que estavam sendo armazenados.

Mais recentemente, a tokenização foi usada no setor de cartões de pagamento como uma forma de proteger dados confidenciais de titulares de cartões e cumprir os padrões do setor. A organização TrustCommerce é creditada com a criação do conceito de tokenização para proteger os dados do cartão de pagamento em 2001.

Tipos de tokens

Existem inúmeras maneiras de os tokens serem classificados, e não há um único método de classificá-los. Existem, no entanto, três principais tipos de tokens definidos pela Securities and Exchange Commission (SEC)e pela Autoridade Supervisora do Mercado Financeiro da Suíça (FINMA). Os tipos diferem com base em sua relação com o ativo do mundo real que representam e incluem o seguinte:

  • Token de ativo/segurança. São tokens que prometem um retorno positivo de um investimento. Estes são análogos a títulos e ações, economicamente.
  • Token de utilidade. Estes são criados para agir como algo diferente de um meio de pagamento. Por exemplo, um token utilitário pode dar acesso direto a um produto ou plataforma, ou como desconto em bens e serviços futuros oferecidos pela plataforma. Agrega valor ao funcionamento de um produto.
  • Token de moeda/pagamento. Estes são criados apenas como um meio de pagamento de bens e serviços externos à plataforma em que existem.

Em um contexto de pagamento, há também uma diferença importante entre tokens de alto e baixo valor. Tokens de alto valor atuam como um substituto para números de contas primárias em uma transação e são usados para concluir a transação. Tokens de baixo valor também atuam como substitutos para números de contas primárias, mas não podem ser usados para concluir uma transação.

Tokenização vs. criptografia

Tokenização digital e criptografia são dois métodos criptográficos diferentes usados para a segurança de dados. A principal diferença entre os dois é que a tokenização não altera o comprimento ou o tipo de dados que estão sendo protegidos, enquanto a criptografia altera o comprimento e o tipo de dados.

Isso torna a criptografia ilegível para qualquer pessoa sem chave, mesmo quando pode ver a mensagem criptografada. A tokenização não usa uma chave dessa forma – não é matematicamente reversível com uma chave de descriptografia. A tokenização usa informações não criptografáveis para representar dados secretos. A criptografia é descriptografável com uma chave. A criptografia tem sido há muito tempo o método preferido de segurança de dados, mas houve uma mudança recente para a tokenização como a opção mais econômica e segura. Criptografia e tokenização são frequentemente usadas em conjunto, no entanto.

Tokenização e blockchain

A tokenização em blockchain refere-se à emissão de um token blockchain, também conhecido como um token de segurança ou ativo. Os tokens blockchain são representações digitais de ativos do mundo real. Um ativo do mundo real pode ser dito ser tokenizado quando é representado digitalmente como criptomoeda.

Nos modelos econômicos tradicionais e centralizados, grandes instituições financeiras e bancos são responsáveis por certificar a integridade do livro de transações. Em uma economia baseada em blockchain ou economia de tokens, essa responsabilidade e poder são transferidos para indivíduos, à medida que a integridade das transações são verificadas usando criptografia em um nível individual em vez de uma centralizada.

Isso é possível porque os tokens de criptomoeda estão ligados em uma blockchain, ou grupo de ativos digitais, o que permite que o ativo digital seja mapeado de volta ao ativo do mundo real. As blockchains fornecem um registro imutável e carimbado de transações. Cada novo conjunto de transações, ou blocos na cadeia, depende dos outros da cadeia a serem verificados. Portanto, um ativo tokenizado em uma blockchain pode eventualmente ser rastreado até o ativo do mundo real que representa por aqueles autorizados a fazê-lo – enquanto ainda permanecem seguros – porque as transações devem ser verificadas por todos os blocos da cadeia.

FONTE: SEARCH SECURITY

Previous post Código Aberto está revolucionando carreiras em cibersegurança – o que você precisa saber
Next post As 5 maiores ameaças à segurança cibernética para o setor de saúde

Deixe um comentário