La tokenización , cuando se aplica a la seguridad de los datos, es el proceso de sustitución de un elemento de datos sensibles con un equivalente no sensible, denominado token , que no tiene ningún significado o valor extrínseco o explotable. El token es una referencia (es decir, un identificador) que se asigna a los datos confidenciales a través de un sistema de tokenización. El mapeo de los datos originales a un token usa métodos que hacen que los tokens no sean factibles de revertir en ausencia del sistema de tokenización, por ejemplo, usando tokens creados a partir de números aleatorios . [3] El sistema de tokenización debe protegerse y validarse utilizando las mejores prácticas de seguridad [4]aplicable a la protección de datos sensibles, almacenamiento seguro, auditoría, autenticación y autorización. El sistema de tokenización proporciona a las aplicaciones de procesamiento de datos la autoridad y las interfaces para solicitar tokens o destokenizarlos a datos confidenciales.
Los beneficios de seguridad y reducción de riesgos de la tokenización requieren que el sistema de tokenización esté lógicamente aislado y segmentado de los sistemas de procesamiento de datos y las aplicaciones que previamente procesaron o almacenaron datos confidenciales reemplazados por tokens. Solo el sistema de tokenización puede tokenizar datos para crear tokens, o destokenizarlos para canjear datos confidenciales bajo estrictos controles de seguridad. Se debe demostrar que el método de generación de tokens tiene la propiedad de que no existen medios viables a través del ataque directo, el criptoanálisis , el análisis de canal lateral, la exposición de la tabla de mapeo de tokens o las técnicas de fuerza bruta para revertir los tokens a datos en vivo.
Reemplazar datos en vivo con tokens en los sistemas tiene como objetivo minimizar la exposición de datos confidenciales a esas aplicaciones, tiendas, personas y procesos, reduciendo el riesgo de compromiso o exposición accidental y acceso no autorizado a datos confidenciales. Las aplicaciones pueden operar usando tokens en lugar de datos en vivo, con la excepción de una pequeña cantidad de aplicaciones confiables que se permite explícitamente destokenizar cuando es estrictamente necesario para un propósito comercial aprobado. Los sistemas de tokenización pueden operarse internamente dentro de un segmento aislado seguro del centro de datos, o como un servicio de un proveedor de servicios seguro.
Tokenization se puede utilizar para proteger los datos sensibles que implica, por ejemplo, cuentas bancarias , estados financieros , registros médicos , antecedentes penales , licencias de conducir , préstamo aplicaciones, acciones oficios , los registros de votantes , y otros tipos de información de identificación personal (PII). La tokenización se utiliza a menudo en el procesamiento de tarjetas de crédito. El PCI Council define la tokenización como "un proceso mediante el cual el número de cuenta principal (PAN) se reemplaza con un valor sustituto llamado token. La eliminación de tokenización [5] es el proceso inverso de canjear un token por su valor PAN asociado. La seguridad de un token individual se basa predominantemente en la inviabilidad de determinar el PAN original conociendo solo el valor sustituto ". [6] La elección de la tokenización como alternativa a otras técnicas, como el cifrado , dependerá de los distintos requisitos reglamentarios, la interpretación y la aceptación por parte de las respectivas entidades de auditoría o evaluación. Esto se suma a cualquier restricción técnica, arquitectónica u operativa que imponga la tokenización en el uso práctico.
Conceptos y orígenes
El concepto de tokenización, adoptado por la industria hoy en día, ha existido desde que surgieron los primeros sistemas monetarios hace siglos como un medio para reducir el riesgo en el manejo de instrumentos financieros de alto valor reemplazándolos con equivalentes sustitutos. [ cita requerida ] En el mundo físico, las fichas de monedas tienen una larga historia de uso que reemplazan el instrumento financiero de monedas y billetes acuñados . En la historia más reciente, las fichas de metro y las fichas de casino se adoptaron en sus respectivos sistemas para reemplazar la moneda física y los riesgos de manejo de efectivo, como el robo. Exonumia y scrip son términos sinónimos de dichos tokens.
En el mundo digital, se han utilizado técnicas de sustitución similares desde la década de 1970 como un medio para aislar elementos de datos reales de la exposición a otros sistemas de datos. En las bases de datos, por ejemplo, los valores de clave sustitutos se han utilizado desde 1976 para aislar los datos asociados con los mecanismos internos de las bases de datos y sus equivalentes externos para una variedad de usos en el procesamiento de datos. [ cita requerida ] Más recientemente, estos conceptos se han ampliado para considerar esta táctica de aislamiento para proporcionar un mecanismo de seguridad a los efectos de la protección de datos.
En la industria de las tarjetas de pago , la tokenización es un medio de proteger los datos confidenciales de los titulares de tarjetas para cumplir con los estándares de la industria y las regulaciones gubernamentales. [7]
En 2001, TrustCommerce creó el concepto de tokenización para proteger los datos de pago confidenciales de un cliente, Classmates.com. [8] Involucró a Rob Caulfield, fundador de TrustCommerce, porque el riesgo de almacenar datos del titular de la tarjeta era demasiado grande si los sistemas fueran pirateados. TrustCommerce desarrolló TC Citadel®, con el que los clientes podían hacer referencia a un token en lugar de los datos del titular de la tarjeta y TrustCommerce procesaba un pago en nombre del comerciante. [9] Esta aplicación de facturación permitió a los clientes procesar pagos recurrentes sin la necesidad de almacenar la información de pago del titular de la tarjeta. La tokenización reemplaza el Número de cuenta principal (PAN) con tokens generados aleatoriamente. Si se interceptan, los datos no contienen información del titular de la tarjeta, lo que los vuelve inútiles para los piratas informáticos. El PAN no se puede recuperar, incluso si el token y los sistemas en los que reside están comprometidos, ni se puede aplicar ingeniería inversa al token para que llegue al PAN.
La tokenización fue aplicada a los datos de tarjetas de pago por Shift4 Corporation [10] y lanzada al público durante una Cumbre de Seguridad de la industria en Las Vegas , Nevada en 2005. [11] La tecnología está destinada a prevenir el robo de la información de la tarjeta de crédito almacenada. Shift4 define la tokenización como: “El concepto de utilizar un dato no descifrable para representar, por referencia, datos confidenciales o secretos. En el contexto de la industria de tarjetas de pago (PCI), los tokens se utilizan para hacer referencia a los datos del titular de la tarjeta que se administran en un sistema de tokenización, una aplicación o una instalación segura fuera del sitio ". [12]
Para proteger los datos durante todo su ciclo de vida, la tokenización a menudo se combina con el cifrado de extremo a extremo para proteger los datos en tránsito al sistema o servicio de tokenización, con un token que reemplaza los datos originales a la devolución. Por ejemplo, para evitar los riesgos de que el malware robe datos de sistemas de baja confianza, como los sistemas de punto de venta (POS), como en el incumplimiento de Target de 2013 , el cifrado de los datos del titular de la tarjeta debe realizarse antes de que los datos de la tarjeta ingresen al POS y no después. . El cifrado se lleva a cabo dentro de los confines de un dispositivo de lectura de tarjetas validado y reforzado con seguridad y los datos permanecen cifrados hasta que los recibe el host de procesamiento, un enfoque iniciado por Heartland Payment Systems [13] como un medio para proteger los datos de pago de amenazas avanzadas, ahora ampliamente adoptado por empresas de procesamiento de pagos de la industria y empresas de tecnología. [14] El PCI Council también ha especificado el cifrado de extremo a extremo (cifrado punto a punto certificado, P2PE) para varias implementaciones de servicios en varios documentos de cifrado punto a punto del PCI Council .
Diferencia del cifrado
La tokenización y el cifrado "clásico" protegen eficazmente los datos si se implementan correctamente, y un sistema de seguridad informática puede utilizar ambos. Si bien son similares en ciertos aspectos, la tokenización y el cifrado clásico difieren en algunos aspectos clave. Ambos son métodos de seguridad de datos criptográficos y esencialmente tienen la misma función, sin embargo, lo hacen con diferentes procesos y tienen diferentes efectos sobre los datos que están protegiendo.
La tokenización es un enfoque no matemático que reemplaza datos sensibles con sustitutos no sensibles sin alterar el tipo o la longitud de los datos. Esta es una distinción importante del cifrado porque los cambios en la longitud y el tipo de los datos pueden hacer que la información sea ilegible en sistemas intermedios como las bases de datos. Los datos tokenizados aún pueden ser procesados por sistemas heredados, lo que hace que la tokenización sea más flexible que el cifrado clásico.
Otra diferencia es que los tokens requieren significativamente menos recursos computacionales para procesarse. Con la tokenización, los datos específicos se mantienen total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. Esto permite que los datos tokenizados se procesen más rápidamente y reduce la presión sobre los recursos del sistema. Esta puede ser una ventaja clave en sistemas que dependen de un alto rendimiento.
Tipos de tokens
Hay muchas formas de clasificar los tokens, sin embargo, actualmente no existe una clasificación unificada. Los tokens pueden ser: de uso único o multiusos, criptográficos o no criptográficos, reversibles o irreversibles, autenticables o no autenticables, y varias combinaciones de los mismos.
En el contexto de los pagos, la diferencia entre tokens de alto y bajo valor juega un papel importante.
Fichas de alto valor (HVT)
Los HVT sirven como sustitutos de los PAN reales en las transacciones de pago y se utilizan como un instrumento para completar una transacción de pago. Para funcionar, deben verse como PAN reales. Múltiples HVT se pueden asignar a un solo PAN y una sola tarjeta de crédito física sin que el propietario se dé cuenta.
Además, los HVT pueden limitarse a determinadas redes y / o comerciantes, mientras que los PAN no.
Los HVT también se pueden vincular a dispositivos específicos para que las anomalías entre el uso de tokens, los dispositivos físicos y las ubicaciones geográficas se puedan marcar como potencialmente fraudulentas.
Tokens de bajo valor (LVT) o tokens de seguridad
Los LVT también actúan como sustitutos de los PAN reales en las transacciones de pago, sin embargo, tienen un propósito diferente. Los LVT no se pueden utilizar por sí mismos para completar una transacción de pago. Para que un LVT funcione, debe ser posible hacer coincidirlo con el PAN real que representa, aunque solo de una manera estrictamente controlada. El uso de tokens para proteger los PAN se vuelve ineficaz si se viola un sistema de tokenización, por lo que asegurar el sistema de tokenización en sí es extremadamente importante.
Operaciones, limitaciones y evolución del sistema
Los sistemas de tokenización de primera generación utilizan una base de datos para mapear desde datos en vivo hasta tokens sustitutos sustitutos y viceversa. Esto requiere almacenamiento, administración y respaldo continuo para cada nueva transacción agregada a la base de datos de tokens para evitar la pérdida de datos. Otro problema es garantizar la coherencia entre los centros de datos, lo que requiere una sincronización continua de las bases de datos de tokens. Con este enfoque son inevitables las concesiones significativas de consistencia, disponibilidad y rendimiento, según el teorema de CAP . Esta sobrecarga agrega complejidad al procesamiento de transacciones en tiempo real para evitar la pérdida de datos y asegurar la integridad de los datos en los centros de datos, y también limita la escala. El almacenamiento de todos los datos confidenciales en un servicio crea un objetivo atractivo para el ataque y el compromiso, e introduce un riesgo legal y de privacidad en la agregación de la privacidad de los datos en Internet , particularmente en la UE .
Otra limitación de las tecnologías de tokenización es medir el nivel de seguridad de una solución determinada a través de una validación independiente. Con la falta de estándares, este último es fundamental para establecer la fuerza de la tokenización que se ofrece cuando se utilizan tokens para el cumplimiento normativo. El PCI Council recomienda la verificación y validación independientes de cualquier reclamo de seguridad y cumplimiento: "Los comerciantes que estén considerando el uso de la tokenización deben realizar una evaluación exhaustiva y un análisis de riesgos para identificar y documentar las características únicas de su implementación particular, incluidas todas las interacciones con los datos de las tarjetas de pago. y los sistemas y procesos de tokenización particulares " [15]
El método de generar tokens también puede tener limitaciones desde una perspectiva de seguridad. Con las preocupaciones sobre la seguridad y los ataques a generadores de números aleatorios , que son una opción común para la generación de tokens y tablas de mapeo de tokens, se debe aplicar un escrutinio para garantizar que se utilicen métodos probados y validados en lugar de diseños arbitrarios. [16] Los generadores de números aleatorios tienen limitaciones en términos de velocidad, entropía, siembra y sesgo, y las propiedades de seguridad deben analizarse y medirse cuidadosamente para evitar la previsibilidad y el compromiso.
Con la adopción cada vez mayor de la tokenización, han surgido nuevos enfoques de tecnología de tokenización para eliminar tales riesgos operativos y complejidades y para permitir una mayor escala adecuada para los casos de uso de big data emergentes y el procesamiento de transacciones de alto rendimiento, especialmente en los servicios financieros y la banca. [17] La tokenización sin bóveda y la tokenización sin estado se han validado de forma independiente [18] para proporcionar una limitación significativa de los controles aplicables del Estándar de seguridad de datos de PCI (PCI DSS) para reducir el alcance de las evaluaciones. La tokenización sin estado permite el mapeo aleatorio de elementos de datos en vivo para sustituir valores sin necesidad de una base de datos, conservando las propiedades de aislamiento de la tokenización.
En noviembre de 2014, American Express lanzó su servicio de token que cumple con el estándar de tokenización EMV . [19]
Aplicación a sistemas de pago alternativos
La construcción de un sistema de pagos alternativo requiere que varias entidades trabajen juntas para brindar comunicación de campo cercano (NFC) u otros servicios de pago basados en tecnología a los usuarios finales. Uno de los temas es la interoperabilidad entre los actores y para resolver este problema se propone el rol del administrador de servicios de confianza (TSM) para establecer un vínculo técnico entre los operadores de redes móviles (MNO) y los proveedores de servicios, de manera que estas entidades puedan trabajar juntas. . La tokenización puede desempeñar un papel en la mediación de dichos servicios.
La tokenización como estrategia de seguridad radica en la capacidad de reemplazar un número de tarjeta real con un sustituto (eliminación de destino) y las limitaciones posteriores impuestas al número de tarjeta sustituto (reducción de riesgo). Si el valor sustituto se puede utilizar de forma ilimitada o incluso de una forma ampliamente aplicable, el valor del token gana tanto valor como el número real de la tarjeta de crédito. En estos casos, el token puede estar protegido por un segundo token dinámico que es único para cada transacción y también asociado a una tarjeta de pago específica. Entre los ejemplos de tokens dinámicos específicos de la transacción se incluyen los criptogramas utilizados en la especificación EMV.
Aplicación a los estándares PCI DSS
El Estándar de seguridad de datos de la industria de tarjetas de pago , un conjunto de pautas de toda la industria que debe cumplir cualquier organización que almacene, procese o transmita datos de titulares de tarjetas, exige que los datos de tarjetas de crédito estén protegidos cuando se almacenen. [20] La tokenización, aplicada a los datos de las tarjetas de pago, a menudo se implementa para cumplir con este mandato, reemplazando los números de tarjetas de crédito y ACH en algunos sistemas con un valor aleatorio o una cadena de caracteres. [21] Los tokens se pueden formatear de varias formas. Algunos proveedores de servicios de token o productos de tokenización generan los valores sustitutos de tal manera que coinciden con el formato de los datos confidenciales originales. En el caso de los datos de la tarjeta de pago, un token puede tener la misma longitud que un Número de cuenta principal ( número de tarjeta bancaria ) y contener elementos de los datos originales, como los últimos cuatro dígitos del número de la tarjeta. Cuando se realiza una solicitud de autorización de tarjeta de pago para verificar la legitimidad de una transacción, se puede devolver un token al comerciante en lugar del número de tarjeta, junto con el código de autorización de la transacción. El token se almacena en el sistema de recepción, mientras que los datos reales del titular de la tarjeta se asignan al token en un sistema de tokenización seguro. El almacenamiento de tokens y datos de tarjetas de pago debe cumplir con los estándares PCI actuales, incluido el uso de criptografía sólida . [22]
Estándares (ANSI, PCI Council, Visa y EMV)
La tokenización se encuentra actualmente en la definición de estándares en ANSI X9 como X9.119 Parte 2 . X9 es responsable de los estándares de la industria para la criptografía financiera y la protección de datos, incluida la administración de PIN de tarjetas de pago, el cifrado de tarjetas de crédito y débito y las tecnologías y procesos relacionados. El PCI Council también ha declarado su apoyo a la tokenización para reducir el riesgo de filtraciones de datos, cuando se combina con otras tecnologías como el cifrado punto a punto (P2PE) y las evaluaciones del cumplimiento de las pautas de PCI DSS. [23] Visa Inc. publicó las Mejores Prácticas de Tokenización de Visa [24] para usos de tokenización en aplicaciones y servicios de manejo de tarjetas de crédito y débito. En marzo de 2014, EMVCo LLC lanzó su primera especificación de tokenización de pagos para EMV . [25] NIST estandarizó los algoritmos de cifrado de preservación de formato FF1 y FF3 en su publicación especial 800-38G. [26]
La reducción de riesgos
La tokenización puede dificultar el acceso de los atacantes a datos confidenciales fuera del sistema o servicio de tokenización. La implementación de la tokenización puede simplificar los requisitos de las PCI DSS , ya que los sistemas que ya no almacenan o procesan datos confidenciales pueden tener una reducción de los controles aplicables requeridos por las directrices de las PCI DSS.
Como práctica recomendada de seguridad, [27] debe existir una evaluación y validación independientes de cualquier tecnología utilizada para la protección de datos, incluida la tokenización, para establecer la seguridad y solidez del método y la implementación antes de cualquier reclamo de cumplimiento de la privacidad, cumplimiento normativo y Se puede garantizar la seguridad de los datos. Esta validación es particularmente importante en la tokenización, ya que los tokens se comparten externamente en el uso general y, por lo tanto, se exponen en entornos de alto riesgo y baja confianza. La inviabilidad de revertir un token o un conjunto de tokens a datos sensibles en vivo debe establecerse utilizando medidas y pruebas aceptadas por la industria por expertos apropiados independientes del proveedor de servicios o soluciones.
Ver también
- Redacción adaptativa
- Truncamiento PAN
- Formato que preserva el cifrado
Referencias
- ^ "Tokenización desmitificada" . IDEMIA . 2017-09-19. Archivado desde el original el 26 de enero de 2018 . Consultado el 26 de enero de 2018 .
- ^ "Explicación de la tokenización de pago" . Cuadrado . Archivado desde el original el 2 de enero de 2018 . Consultado el 26 de enero de 2018 .
- ^ CardVault: "Tokenización 101"
- ^ "Proyecto OWASP Top Ten" . Archivado desde el original el 1 de diciembre de 2019 . Consultado el 1 de abril de 2014 .
- ^ Y., Habash, Nizar (2010). Introducción al procesamiento del lenguaje natural árabe . Morgan y Claypool. ISBN 978-1-59829-796-6. OCLC 1154286658 .
- ^ Directrices de tokenización de PCI DSS
- ^ "La tokenización facilita el cumplimiento de PCI del comerciante" . Archivado desde el original el 3 de noviembre de 2012 . Consultado el 28 de marzo de 2013 .
- ^ "¿De dónde vino la tokenización?" . TrustCommerce . Consultado el 23 de febrero de 2017 .
- ^ "TrustCommerce" . 2001-04-05. Archivado desde el original el 5 de abril de 2001 . Consultado el 23 de febrero de 2017 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ "Shift4 Corporation publica el documento técnico en profundidad sobre la tokenización" . Archivado desde el original el 13 de marzo de 2014 . Consultado el 2 de julio de 2017 .
- ^ "Shift4 lanza una herramienta de seguridad que permite a los comerciantes reutilizar los datos de las tarjetas de crédito" . Minorista de Internet .[ enlace muerto permanente ]
- ^ "Shift4 Corporation publica el documento técnico en profundidad sobre la tokenización" . Archivado desde el original el 16 de julio de 2011 . Consultado el 17 de septiembre de 2010 .
- ^ "Lecciones aprendidas de una violación de datos" (PDF) . Archivado desde el original (PDF) el 2 de mayo de 2013 . Consultado el 1 de abril de 2014 .
- ^ Voltaje, Ingencio Partner en plataforma de cifrado de datos
- ^ Directrices de tokenización del PCI Council
- ^ ¿Cómo saber si un RNG está funcionando?
- ^ Los bancos presionan por el estándar de tokenización para asegurar los pagos con tarjeta de crédito
- ^ "La tokenización sin estado segura de voltaje avanza la seguridad de los datos para empresas, comerciantes y procesadores de pagos" . reuters.com . Diciembre de 2012. Archivado desde el original el 24 de septiembre de 2015 . Consultado el 2 de julio de 2017 .
- ^ "American Express presenta nuevos servicios de seguridad de pagos móviles y en línea" . AmericanExpress.com . 3 de noviembre de 2014. Archivado desde el original el 4 de noviembre de 2014 . Consultado el 4 de noviembre de 2014 .
- ^ El estándar de seguridad de datos de la industria de tarjetas de pago
- ^ "Tokenización: procesamiento de pago de tokenización compatible con PCI" . Sistemas de pago Bluefin . Consultado el 14 de enero de 2016 .
- ^ "Seguridad de datos: contrapunto -" La mejor manera de proteger los datos es no almacenar datos " " (PDF) . Archivado desde el original (PDF) el 31 de julio de 2009 . Consultado el 17 de junio de 2009 .
- ^ Protección de la información del consumidor: ¿Se pueden prevenir las violaciones de datos?
- ^ Mejores prácticas de tokenización de Visa
- ^ "Especificación de tokenización de pago EMV - Marco técnico" . Marzo del 2014.
- ^ Dworkin, Morris. "Recomendación para los modos de operación de cifrado en bloque: métodos para el cifrado de conservación de formato" (PDF) . Archivado desde el original (PDF) el 22 de agosto de 2017.
- ^ "Guía de criptografía OWASP" . Archivado desde el original el 7 de abril de 2014 . Consultado el 1 de abril de 2014 .
enlaces externos
- Nube vs pago - Nube vs pago - Introducción a la tokenización a través de pagos en la nube.