La tokenización es el proceso de intercambio de datos confidenciales por datos no confidenciales llamados “tokens” que se pueden usar en una base de datos o sistema interno sin incluirlos en el alcance.
Si bien los tokens son valores no relacionados, conservan ciertos elementos de los datos originales, generalmente la longitud o el formato, por lo que pueden usarse para operaciones comerciales ininterrumpidas. Los datos confidenciales originales se almacenan de forma segura fuera de los sistemas internos de la organización.
A diferencia de los datos cifrados, los datos tokenizados son indescifrables e irreversibles. Esta distinción es particularmente importante: debido a que no existe una relación matemática entre el token y su número original, los tokens no pueden devolverse a su forma original sin la presencia de datos adicionales almacenados por separado. Como resultado, una violación de un entorno tokenizado no comprometerá los datos confidenciales originales.
¿Qué es una ficha?
Como se describió anteriormente, un token es un dato que sustituye a otro dato más valioso. Los tokens prácticamente no tienen valor por sí solos; solo son útiles porque representan algo más grande, como un número de cuenta principal de tarjeta de crédito (PAN) o un número de Seguro Social (SSN). Una buena analogía es una ficha de póquer. En lugar de llenar una mesa con dinero en efectivo (que se puede perder o robar fácilmente), los jugadores usan fichas como marcadores de posición. Sin embargo, las fichas no se pueden usar como dinero, incluso si son robadas. Primero deben ser canjeados por su valor representativo.
La tokenización funciona eliminando los datos valiosos de su entorno y reemplazándolos con estos tokens. La mayoría de las empresas tienen al menos algunos datos confidenciales dentro de sus sistemas, ya sean datos de tarjetas de crédito, información médica, números de seguro social o cualquier otra cosa que requiera seguridad y protección. Al usar la tokenización, las organizaciones pueden continuar usando estos datos para fines comerciales sin incurrir en el riesgo o el alcance de cumplimiento de almacenar datos confidenciales internamente.
¿Qué es la detokenización?
La detokenización es el proceso inverso, intercambiando el token por los datos originales. La destokenización solo puede ser realizada por el sistema de tokenización original. No hay otra forma de obtener el número original solo del token.
Los tokens pueden ser de un solo uso (de bajo valor) para operaciones como transacciones únicas con tarjeta de débito que no es necesario retener, o pueden ser persistentes (de alto valor) para elementos como el número de tarjeta de crédito de un cliente repetido. que debe almacenarse en una base de datos para transacciones recurrentes.
¿Qué es el proceso de cifrado?
El cifrado es un proceso durante el cual los datos confidenciales se modifican matemáticamente, pero su patrón original aún está presente en el nuevo código. Esto significa que los números cifrados se pueden descifrar con la clave adecuada, ya sea a través de la fuerza informática bruta o una clave pirateada o robada.
¿Cuál es el objetivo de la tokenización?
El objetivo de una plataforma de tokenización efectiva es eliminar cualquier pago confidencial original o datos personales de sus sistemas comerciales, reemplazar cada conjunto de datos con un token indescifrable y almacenar los datos originales en un entorno de nube seguro, separado de sus sistemas comerciales.
Por ejemplo, la tokenización en la banca protege los datos del titular de la tarjeta. Cuando procesa un pago utilizando el token almacenado en sus sistemas, solo el sistema de tokenización de la tarjeta de crédito original puede intercambiar el token con el número de cuenta principal (PAN) correspondiente y enviarlo al procesador de pagos para su autorización. Sus sistemas nunca registran, transmiten ni almacenan el PAN, solo el token.
Sin embargo, ninguna defensa ha demostrado ser impenetrable. Ya sea por error humano, malware, correos electrónicos de phishing o fuerza bruta, los ciberdelincuentes tienen muchas formas de aprovecharse de las organizaciones vulnerables. En muchos casos, se trata de cuándo, no de si, un ataque tendrá éxito. La ventaja de la tokenización en la nube es que no hay información disponible para robar cuando ocurre la inevitable violación. Debido a esto, prácticamente elimina el riesgo de robo de datos.
Este articulo puede interesarle Pasos para el éxito en 2022: Gestión de inventario de construcción
