这个专栏可以在名为IT最佳实践的每周通讯中找到。点击这里订阅。
作为一种使明文数据变得模糊的安全技术,记号化与加密相比简直是后生之子。然而,这种情况正在改变,因为标记化在苹果支付、三星支付和安卓支付等移动支付系统的实现中发挥了关键作用。如果你使用这些基于智能手机的支付应用程序,标记已经在为你工作了。
除非你在支付行业的时候,你可能甚至不知道断词是什么,或者它如何能够保护敏感数据。是的,有超越保证支付数据的技术使用。我将讨论使用情况在一分钟内,但首先让我解释令牌化是什么。
标记化是将有意义的敏感数据(如社会保险号)转换为随机字符串(称为标记)的过程,这些字符如果被破坏就没有任何意义。与加密不同,标记化不使用数学算法将数据值转换为标记。相反,明文数据值进入一个安全的数据库,称为金库或字典,在那里进行加密。在它的位置上,您将获得一个可以在常规应用程序中使用的令牌。索引存储实际数据值与其标记之间的关系。如果需要检索原始数据,则将标记呈现给索引,它将查找真实的数据值。
了解令牌,最重要的是,它不能变回真正的数据值,如果令牌被窃取。有没有算法或键,可把令牌插入数据。小偷必须获得对高度安全令牌保管库的访问 - 这本身是受保护的加密 - 为了恢复原始数据值。
您可以看到,标记化和加密经常一起使用,以增强数据安全性。它们实际上是互补的技术,而不是相互替代的技术。
主要用途的情况下今天标记化是确保支付卡数据。PCI DSS有一只大手在该技术的采用。条例要求每一个在持卡人数据存在环境年度安全审计。它曾经是共同为客商保持支付卡数据后,购买交易获得授权。他们会用这些数据来分析客户的购买历史,制定营销方案,以奖励忠诚点,依此类推。
一旦PCI DSS走过来,商家都必须充分确保这个数据,并通过年度审计经过严格的审查。招商发现他们可以使用令牌来代替真正的卡号为所有的辅助用途的,也可以通过从他们的后端应用中完全移除真实的数据减少,同时他们的审计要求。
今天,移动支付依赖于符号化,以保证安全交易。基于智能手机支付应用的最新迭代存储在设备上或在云中托管卡环境安全元件芯片您的信用卡号码的标记化版本。
When you go to use Apple Pay, for example, the phone app authenticates you via a fingerprint scan and sends the card token and a cryptogram via near field communications (NFC) to the merchant’s point-of-sale terminal, which passes them to the card network (e.g., Visa, MasterCard, etc.). The network authenticates the token and the cryptogram and forwards them to the bank that issued the payment card. The bank decrypts the token, determines its authenticity, associates it with your real account number and authorizes the transaction. The merchant is credited with the amount of the sale and your account is debited. This all happens in a matter of seconds at the point-of-sale.
代币越来越多地被用于支付应用程序之外的领域。一个主要的用例是,当公司希望将数据存储在云端,但数据主权法律禁止将真实数据(即使是加密的)放在云应用程序中,因为云应用程序可能允许数据跨越国界,比如用于数据备份。在这种情况下,公司可以先对数据进行标记,然后再将数据发送到云应用。在没有真实数据存在的情况下,不存在数据主权限制。
令牌还可以在SaaS应用程序,以模糊的信息,如社会安全号码被使用,账号和其他类型的个人身份信息(PII)。令牌可制成采取一定的格式,以确保应用程序的正常运行;例如,以格式为XXX-XX-XXXX来代替社会安全号码。
您可以完全部署本地,在这种情况下,你容纳令牌库在自己的数据中心的标记化引擎。2020欧洲杯预赛或者,更常见的方法是使用第三方令牌提供商来存储敏感数据,并给您令牌数据替代。许多云访问安全中间商报价与他们的网关服务标记化选择。
请记住,如果您在内部设置了令牌库,则必须围绕该库构建安全性。此外,您还失去了从计算环境中删除真实数据的优势,这会使遵从性需求出现更多问题。通过使用基于云的标记化解决方案,您将让其他人来处理金库的安全需求。
在某些方面,令牌使用起来没有加密那么复杂。例如,您不需要担心键旋转,因为令牌本身没有键。
当你考虑如何保护您的敏感数据,尤其是在云中,给令牌化的一些考虑。这也许会是正确的技术为您服务。