Todas las empresas, grandes o pequeñas, recopilarán, recibirán, almacenarán y/o distribuirán datos de alguna forma. Dondequiera que se manejen los datos, las organizaciones tienen la responsabilidad de mantenerlos seguros.
Hay muchas maneras diferentes en las que esto se puede lograr, siendo la tokenización y el cifrado dos de los ejemplos más destacados.
Vamos a echar un vistazo a lo que implica cada método, sus ventajas y desventajas, y trataremos de determinar si un método es significativamente mejor que el otro.
¿Qué es la tokenización?
Puede reconocer el término tokenización si su empresa ofrece soporte de bots conversacionales, aunque aquí no estamos hablando del proceso en el procesamiento del lenguaje natural. En cierto modo, sin embargo, el principio es el mismo; ambas instancias de tokenización implican tomar información y cambiar la forma en que se representa.
El tipo de tokenización que nos ocupa aquí es una rama de la criptografía, el término que se origina en el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). En términos simples, la tokenización implica tomar un dato significativo y convertirlo en una cadena de caracteres aleatorios.
Esta cadena de caracteres es el token. Los tokens se extraen aleatoriamente de una base de datos conocida como bóveda de tokens para sustituir los datos confidenciales. El token no tiene valor por sí mismo, actuando solo como un sustituto de los datos.
En caso de una violación de datos, no hay forma de usar el token para acceder a los datos originales, manteniéndolos seguros. Esto se debe a que la tokenización no utiliza un método criptográfico para transformar datos comerciales confidenciales, por lo que no existe una relación matemática entre el token y los datos que protege.
La tokenización utiliza la base de datos de la bóveda de tokens para almacenar la relación entre el token y la información original. Esto significa que incluso si ocurre una violación de datos, no hay forma de revertir un algoritmo para acceder a los datos confidenciales que oculta el token, como sería el caso de los datos que se cifraron.
Los tokens se pueden representar de varias formas. En algunos casos, los tokens pueden incorporar caracteres de la información que protegen para que sean más fáciles de usar. Por ejemplo, un número de tarjeta de crédito que ha sido tokenizado por seguridad puede mostrarse como '************5678', donde los últimos cuatro dígitos son del número de tarjeta real.
El número de la tarjeta de crédito ha sido tokenizado, por lo que no hay forma de acceder a él y el comerciante solo tiene acceso al token. Pero al mantener intactos los últimos cuatro dígitos, un cliente que compra algo en línea puede identificar qué tarjeta o cuenta bancaria utilizó para realizar la compra, sin revelar ninguna información confidencial.
Usos de la tokenización
La tokenización tiene una variedad de aplicaciones. Como se mencionó anteriormente, la tokenización se usa a menudo en eCommerce para proteger los detalles de pago de los clientes que compran en línea. Debido a que los detalles de pago se reemplazaron con un token, es imposible que el comerciante vea la información confidencial.
Cuando se va a procesar el pago con tarjeta, el token se envía a la bóveda y se obtienen los datos reales que corresponden al token para el proceso de autorización. Este proceso ocurre de forma prácticamente instantánea, realizado automáticamente por el navegador o la aplicación.
No son solo los detalles de pago los que pueden protegerse con la tokenización. Se puede usar para ocultar todo tipo de información confidencial, lo que permite que solo las partes relevantes con permiso accedan a ella. Direcciones de correo electrónico, números de teléfono, números de seguro social; prácticamente cualquier tipo de información que pueda haber almacenado en su plataforma CX, todos pueden protegerse de manera efectiva a través de la tokenización.
Ventajas de la tokenización
La ventaja obvia de la tokenización es que protege la información confidencial en caso de una violación de datos. Esta es una de las principales ventajas de la tokenización, ya que otorga una importancia cada vez mayor a las filtraciones de datos.
La tokenización no solo beneficia a los consumidores al proporcionar mejores seguridad, sin embargo. Las empresas también se benefician al reducir la responsabilidad interna de proteger los datos confidenciales. Cualquier organización que recopile información confidencial tiene la responsabilidad de proteger esa información.
Debido a que la tokenización utiliza una base de datos de terceros para almacenar datos de forma segura, las empresas tienen una carga reducida para proporcionar el personal y los recursos para administrarlos. El almacenamiento de tokens en lugar de datos vulnerables simplifica el software y los procedimientos necesarios para cumplir con las leyes de protección de datos.
Desventajas de la tokenización
Puede haber desventajas en el uso de la tokenización, así como ventajas. En primer lugar, la tokenización agrega complejidad a su infraestructura de TI. Para garantizar que los detalles del cliente permanezcan seguros, deben pasar por sistemas de detokenización y retokenización mientras están autorizados.
Sin embargo, vale la pena tener en cuenta que cualquier complejidad añadida por el medidas de seguridad empleado es un pequeño precio a pagar para mantener seguros los datos de su cliente y mantener el cumplimiento.
Es posible que no todos los procesadores de pago admitan la tokenización, por lo que es posible que deba investigar si sus socios preferidos son compatibles. También vale la pena recordar investigar la seguridad y confiabilidad de los proveedores que almacenarán sus datos por usted.
El almacenamiento de datos fuera del sitio simplificará los procedimientos para su negocio, pero significa que depende de terceros para mantener seguros los datos valiosos de sus clientes.
¿Qué es el cifrado?
El cifrado es otro método popular de protección de datos y se puede usar para proteger todo, desde una API de afiliado hasta almacenamiento en la nube. A diferencia de la tokenización, implica transformar los datos existentes para mantenerlos seguros. El cifrado utiliza algoritmos para cambiar la información de texto sin formato en texto cifrado ilegible.
Para que la información se descifre y vuelva a ser legible, el receptor de datos requiere un algoritmo y una clave de descifrado. Esto garantiza que solo los destinatarios previstos de la información puedan acceder a ella.
Se puede utilizar el cifrado basado en archivos (FBE) o el cifrado de disco completo (FDE). El primero requiere una clave de cifrado separada para acceder a cada parte de la información, y el segundo permite ver una base de datos completa con una clave de cifrado.
Cifrado simétrico y asimétrico
Hay dos enfoques principales para el cifrado, el cifrado de clave simétrica y el cifrado de clave asimétrica.
- Cifrado de clave simétrica utiliza una única clave para cifrar y descifrar la información. Este tipo de cifrado suele ser más sencillo de configurar, pero significa que si la clave se ve comprometida, todos los datos que se utilizó para proteger se vuelven vulnerables.
- Cifrado de clave asimétrica, o cifrado de clave pública, utiliza dos claves distintas, una para el cifrado y otra para el descifrado. La clave pública solo se puede usar para cifrar los datos, y una segunda clave privada se usa para descifrarlos. Esto reduce la cantidad de partes responsables de la clave de descifrado y, por lo tanto, minimiza el riesgo de que se vea comprometida.
Usos del cifrado
El cifrado es uno de los métodos más utilizados para proteger los datos y, como tal, se utiliza en una amplia variedad de formas. Las empresas utilizan el cifrado para proteger la información de la tarjeta de pago y los datos del titular de la tarjeta. También se puede utilizar para proteger la información de identificación personal y la información personal no pública.
La información transmitida en Internet a menudo se protege utilizando Secure Sockets Layer (SSL) encriptación. Sitios web que presumen Certificados SSL han sido verificados como genuinos y, por lo tanto, un certificado SSL se usa a menudo como un indicador rápido de si un sitio web o Tienda de comercio electrónico es confiable, por lo que es esencial si desea generar ventas e impulsar retención de clientes.
Muchos sistemas operativos de computadoras y sistemas operativos de teléfonos inteligentes cuentan con capacidades de cifrado integradas para proteger la información personal, hasta el punto de que muchos usuarios quizás ni siquiera se den cuenta de que están usando herramientas de cifrado. También hay disponibles muchos tipos de aplicaciones y software de encriptación de terceros.
Ventajas del cifrado
El cifrado se puede utilizar para proteger una amplia gama de tipos de información. Además de la información personal y los detalles financieros, el cifrado también se puede usar para proteger datos no estructurados, como correos electrónicos o archivos.
Esto significa que grandes piezas de información se pueden proteger fácilmente con cifrado, mientras que la tokenización solo se usa realmente para piezas de datos más pequeñas, como números de tarjetas de crédito. Si ha aumentado recientemente su base de clientes gracias a una nueva campaña de marketing, puede optar por el cifrado como una forma de mantener segura la gran cantidad de detalles de nuevos clientes.
Las claves de descifrado se comparten fácilmente con otros sin crear vulnerabilidades de seguridad, lo que significa que compartir información de forma segura o acceder a archivos de forma remota es más fácil con el cifrado que con la tokenización.
El cifrado también se puede llevar a cabo muy rápidamente. Se pueden proteger grandes cantidades de información en un período de tiempo relativamente corto, a diferencia de la tokenización, donde se cambia cada carácter de los datos que se protegen.
Desventajas del cifrado
Desafortunadamente, también existen desventajas en el uso del cifrado. Todo lo que un pirata informático necesita para acceder a la información protegida es una clave, por lo que si obtiene acceso a ella a través de medios nefastos, tendrá acceso a todos los datos cifrados con ella. Esto contrasta con la tokenización, donde cada valor está protegido con un token aleatorio separado.
También puede haber algunos problemas relacionados con la funcionalidad del software debido al cifrado. Es posible que algunas herramientas de software no admitan el texto cifrado utilizado en el cifrado, por lo que es posible que sea necesario realizar una investigación para garantizar la compatibilidad antes de seleccionar el software de cifrado.
Finalmente, el cifrado a menudo funciona mejor cuando se usa junto con capas adicionales de seguridad, como el cifrado de múltiples factores. Piense en ello como múltiples capas de seguridad que trabajan juntas para formar un todo más fuerte, similar a una característica como un herramienta de análisis de sentimiento trabajando para crear una mejor experiencia de chatbot. Agregar capas adicionales de seguridad puede hacer que el proceso de encriptación sea más costoso y más lento de lo que planeó originalmente.
Tokenización vs Cifrado
Hay varios factores clave que debe considerar al decidir si el cifrado o la tokenización es la opción correcta para su negocio.
Sector
Los tipos de riesgos de seguridad que puede enfrentar dependerán del sector en el que esté operando. Un informe de 2020 encontró que la gran mayoría de los detalles obtenidos en las infracciones de la industria minorista eran datos personales o detalles de pago.
Si tiene una tienda de comercio electrónico, buscará una forma de mantener seguros los detalles de pago de sus clientes, al igual que buscará formas de mejorar su Inventario o mejorar su métricas de habilitación de ventas. La tokenización proporciona una manera eficiente y confiable de hacer esto.
Si opera en el sector de la salud y necesita proteger una gran cantidad de archivos o bases de datos que contienen registros de pacientes, entonces el cifrado es probablemente un método más rápido y eficiente.
Riesgos de seguridad
Los tipos de riesgos de seguridad que puede enfrentar también influirán en el método que elija para proteger sus datos. La tokenización es mucho más difícil de revertir que el cifrado de datos, que se revierte fácilmente por diseño, siempre que tenga la clave de descifrado.
Debido a que los tokens no contienen ninguno de los datos originales, son efectivamente inútiles para cualquier parte externa que pueda lograr obtenerlos a través de la piratería u otros medios nefastos. Si su industria es propensa a ataques informáticos u otros ataques cibernéticos, entonces la tokenización puede proporcionar una protección más efectiva.
Si su empresa emplea a una gran cantidad de trabajadores remotos a nivel nacional, o incluso a nivel mundial, es probable que tengan que compartir información en la nube o a través de otros métodos remotos. Este es otro factor a tener en cuenta al considerar los métodos de protección.
Cumplimiento
El cumplimiento es otro factor a considerar. Debido a que el cifrado se puede revertir, PCI DSS lo considera inseguro, lo que significa que otros métodos de protección de datos del cliente debe usarse junto con él para cumplir con las regulaciones. Estos otros métodos pueden resultar en costos adicionales para su negocio que no había presupuestado originalmente.
La tokenización, por otro lado, se considera compatible. Esto significa que no es necesario tomar ninguna otra medida para lograr el cumplimiento. Esto puede reducir costos y significa que, en caso de que su entorno se vea comprometido, no tendrá que preocuparse por multas u otras repercusiones.
Escalabilidad
El cifrado es mucho más fácil de usar a escala que la tokenización. Si su organización necesita cifrar grandes cantidades de información variada, el cifrado puede ofrecer un método de protección más versátil.
La tokenización adolece de problemas de escalabilidad, ya que aumentar la cantidad de tokens utilizados aumenta el riesgo de que se produzcan colisiones. Se produce una colisión cuando se intenta asignar el mismo token a dos datos.
Luego, el proceso debe reiniciarse para asignar un nuevo token que aún no existe. Cuanta más información haya tokenizado, más posibilidades hay de que se duplique un token, lo que ralentiza todo el proceso.
¿Cuál es el mejor para su negocio?
Desafortunadamente, no hay una manera fácil de responder a esta pregunta. De hecho, la respuesta más probable es ambas.
Tanto la tokenización como el cifrado ofrecen ventajas y desventajas sorprendentemente diferentes para proteger su información confidencial. La tokenización brinda seguridad que es más difícil de deshacer, pero es difícil de manejar e ineficiente a escala.
El cifrado, por otro lado, se revierte más fácilmente, pero es mucho más adecuado para proteger grandes cantidades de datos y hace que compartir esa información sea mucho más fácil.
Deberá analizar cuidadosamente las necesidades de su negocio para determinar qué método funciona mejor para usted en diferentes situaciones. Sin embargo, lo que está claro es que ambos métodos tienen valor para mantener segura la información de su organización y de su cliente.
