Токенизация: актуальные проблемы

Токенизация – это техника защиты данных, которая по эффективности сравнима с шифрованием; эта техника предлагает иной подход, с помощью которого приложения могут приводить данные в непригодный вид, так что для взломщика эти данные будут бесполезны в случае их кражи или случайного раскрытия. В то время как шифрование трансформирует данные с помощью специфического алгоритма, процесс токенизации заменяет данные, нуждающиеся в защите, суррогатными данными (токенами). Существует много методов создания этих токенов и защиты общей системы; но в противоположность шифрованию, не существует никаких формальных стандартов токенизации. Один из общих подходов заключается в применении централизованного сервиса, который генерирует токены, выполняет замену и далее хранит и токены и соответствующие им первоначальные данные, что позволяет вернуть данные в прежний вид (заменить токены первоначальными значениями), когда нужно будет применить приложение, использующее первоначальные данные. Альтернативные подходы избегают необходимости в применении централизованного сервиса для выполнения токенизации и депозитария для хранения первоначальных данных и токенов; вместо этого используются секретные заранее сгенерированные справочные таблицы, которыми могут пользоваться приложения. Часто разница между шифрованием и токенизацией размыта, но оба подхода включают использование секретных материалов для защиты данных и в обоих случаях для защищаемых данных обеспечивается безопасность только постольку, поскольку безопасно происходит сам процесс трансформации и надежно хранятся любые секреты, связанные с этой трансформацией. Так же, как в случае шифрования, во избежание неавторизованного применения необходимо хранить ключи, также и в случае токенизации коллекцию токенов следует хранить с высокой надежностью.

Читать далее

Так же , как и в случае с шифрованием, и в частности, с межконцевым шифрованием (процесс P2PE), токенизация как правило выполняется с помощью приложений, обычно в операциях розничной торговли; и ее применение также подлежит действию стандарта PCI DSS, а значит, организациям нужно с помощью отчетности доказывать соблюдение этого стандарта; защита плотно форматированных данных, таких как данные держателей карт, является естественным приспособлением к таким подходам, применяющим замены, как, например, токенизация. Процесс токенизации помогает снизить масштаб работы по доказательству соблюдения требований как в отношении аудита, так и в отношении стандартов безопасности, поскольку, например, номера кредитных карт клиентов заменяются на токены сразу, как только их получает терминал в торговой точке, после чего эти данные более не подлежат защите (а следовательно и соблюдению в отношении них стандарта безопасности), поскольку они более не содержат действительных номеров кредитных карт. По умолчанию, данные остаются в токенизированной форме, так что любую систему, которая не может получить доступ к сервису, который производит обратную замену, потенциально можно сбрасывать со счетов и не обращать на нее внимание. Чтобы организации могли воспользоваться преимуществами этого потенциального снижения объема усилий по соблюдению стандартов безопасности, им нужно следовать указаниям, изданным Советом PCI в отношении применения токенизации. Аппаратные защитные модули (HSM) могут играть важную роль в обеспечении адекватных уровней безопасности, таких же высоких, какие они обеспечивают в случае шифрования, поскольку все применения системы токенизации зависят от использования криптографии.  

Скрыть раздел

Риски

  • Системы токенизации являются привлекательными мишенями для взломщиков, так как последние могут получить доступ к крупным объемам ценной информации.
  • Различные подходы к токенизации, практики обеспечения безопасности, связанные с генерацией и хранением токенов, и другие аспекты контроля доступа не являются стандартизированными и не могут рассматриваться как наиболее эффективные способы действий; сертификации продуктов в этой области все еще отличаются незрелостью по сравнению с аналогичными явлениями в области техники шифрования. Это налагает на организации и аудиторов больше ответственности за безопасность систем, с которыми они контактируют.
  • Системы токенизации, основанные на программном обеспечении, уязвимы к атакам, как и любые основанные на программном обеспечении приложения, нацеленные на повышение безопасности; взломщики, получившие доступ к токенизированным системам, могут украсть данные счетов клиентов. Поэтому организации должны рассмотреть возможность использования платформ «укрепленной безопасности», например, модулей HSM, так же, как это рекомендуется в отношении любых систем, основанных на шифровании.
  • Токенизация лучше всего подходит для ситуаций, когда данные высоко структурированы и упорядочены в специфическом формате; по сравнению с шифрованием, этот метод не позволяет в тех же масштабах, что и шифрование, распространить его на защиту других данных, не подпадающих под действие стандарта PCI DSS.
  • Многие подходы к выполнению токенизации полагаются на выполняемые в режиме реального времени соединения с центральным или даже с облачным сервисом токенизации, а эта практика может вызвать озабоченность по поводу способности к восстановлению и времени ожидания – и потенциально может негативно отразиться на мощности бизнеса и даже на его существовании.

Токенизация: решения компании Thales e-Security

Продукты и сервисы, предлагаемые компанией Thales e-Security, могут помочь вам применить эффективные высоконадежные решения по применению процесса токенизации в целях защиты информации клиентов, сокращения объема работ по отчетности и стоимости этих работ Модули nShield HSM независимо сертифицированы как отвечающие стандарту FIPS и «Общим критериям» и утверждены для применения других подходов, которые могут сократить объем работ, например, для межконцевого шифрования в соответствии с указаниями стандарта PCI DSS. С помощью модулей HSM, организации могут защитить хранение токенов и сам процесс токенизации и повысить производительность генерации токенов. Модули nShield HSM создают надежную среду, где токены можно генерировать и хранить, где они поддаются управлению и где безопасно может происходить процесс токенизации и возвращения первоначальных значений. Этот надежный уровень преодолевает то обстоятельство, что среда, опирающаяся только на программное обеспечение, в которой обычно выполняются приложения, должна быть сама по себе достаточно надежна, чтобы удовлетворять требованиям системы токенизации.

Независимо от того, токенизируете ли вы данные по счетам с помощью своего собственного разработанного вами программного обеспечения, или вы купили у торговой организации готовый к употреблению коммерческий продукт по токенизации, или вместе с другими организациями вы используете один и тот же сервис токенизации, - в любом случае модули nShield HSM могут играть важную роль. Эти устройства уже сертифицированы, как легко интегрирующиеся со многими популярными продуктами по токенизации, что обеспечивает вам быстрое применение и беспроблемную интеграцию с уже существующими системами.

Преимущества:

  • Примените высоконадежные решения по токенизации для защиты данных по счетам и для снижения расходов на составление отчетности в доказательство соблюдения стандартов безопасности.
  • Используйте наиболее эффективные методы, наработанные в отрасли, рекомендуемые аудиторами и руководствами к стандарту PCI DSS, поскольку они способны защитить целостность токенизированных систем.
  • Ускорьте применение высокотехнологичных решений; примите во внимание, что модули nShield HSMs получили квалификацию устройств, легко интегрирующихся с продуктами, купленными у ведущих торговых организаций в области ИТ.
  • Воспользуйтесь преимуществами возможностей по разгрузке своего оборудования от операций криптографической обработки; это позволит вам ускорить генерацию токенов, особенно в ситуациях, когда значения токенов криптографически связаны с первоначальными данными.
  • Воспользуйтесь преимуществами выбора производительности и опций модулей HSM; примените только действительно необходимые параметры, что позволит в случае необходимости нужным образом модернизировать решение.