Tokenizacja a szyfrowanie: kluczowe różnice, które mają znaczenie dla Twojej firmy

Zaktualizowano: 2022 / Autor artykułu: Grace Lau

Wszystkie firmy, duże i małe, będą gromadzić, otrzymywać, przechowywać i/lub rozpowszechniać dane w jakiejś formie. Wszędzie tam, gdzie przetwarzane są dane, organizacje ponoszą odpowiedzialność za ich bezpieczeństwo. 

Można to osiągnąć na wiele różnych sposobów, a jednym z najbardziej znanych przykładów jest tokenizacja i szyfrowanie. 

Przyjrzymy się, na czym polega każda metoda, jej zaletom i wadom, i spróbujemy określić, czy jedna metoda jest znacznie lepsza od drugiej.

Co to jest tokenizacja?

Termin tokenizacja możesz rozpoznać, jeśli Twoja firma oferuje wsparcie chatbota, chociaż nie mówimy tutaj o procesie przetwarzania języka naturalnego. Pod pewnymi względami jednak zasada jest taka sama; oba przypadki tokenizacji obejmują pobieranie informacji i zmianę sposobu ich reprezentacji.

Rodzaj tokenizacji, którym się tutaj zajmujemy, to gałąź kryptografii, termin wywodzący się ze standardu Payment Card Industry Data Security Standard (PCI DSS). Mówiąc prościej, tokenizacja polega na pobraniu znaczącej części danych i przekształceniu jej w ciąg losowych znaków.

Ten ciąg znaków to token. Tokeny są losowo pobierane z bazy danych znanej jako skarbiec tokenów w celu zastąpienia poufnych danych. Token nie ma własnej wartości, działając jedynie jako substytut danych. 

W przypadku naruszenia bezpieczeństwa danych nie ma możliwości wykorzystania tokena w celu uzyskania dostępu do oryginalnych danych, zapewniając ich bezpieczeństwo. Dzieje się tak, ponieważ tokenizacja nie wykorzystuje metody kryptograficznej do transformacji wrażliwe dane biznesowe, więc nie ma matematycznego związku między tokenem a danymi, które chroni.

Tokenizacja używa bazy danych magazynu tokenów do przechowywania relacji między tokenem a oryginalnymi informacjami. Oznacza to, że nawet w przypadku naruszenia bezpieczeństwa danych nie ma możliwości odwrócenia algorytmu dostępu do danych wrażliwych, które ukrywa token, tak jak miałoby to miejsce w przypadku danych, które zostały zaszyfrowane.

Żetony można reprezentować na wiele sposobów. W niektórych przypadkach tokeny mogą zawierać znaki z informacji, które chronią, aby były bardziej przyjazne dla użytkownika. Na przykład numer karty kredytowej, który został tokenizowany ze względów bezpieczeństwa, może być wyświetlany jako „*************5678”, przy czym ostatnie cztery cyfry to rzeczywisty numer karty. 

Numer karty kredytowej został ztokenizowany, więc nie ma do niego dostępu, a sprzedawca ma tylko dostęp do tokena. Ale zachowując nienaruszone ostatnie cztery cyfry, klient dokonujący zakupu online może zidentyfikować kartę lub konto bankowe, z którego korzystał, aby dokonać zakupu, bez ujawniania poufnych informacji.

Zastosowania tokenizacji

Tokenizacja ma wiele zastosowań. Jak wspomniano powyżej, tokenizacja jest często stosowana w eCommerce w celu ochrony danych płatniczych klientów dokonujących zakupów online. Ponieważ szczegóły płatności zostały zastąpione tokenem, sprzedawca nie może wyświetlić poufnych informacji. 

Gdy płatność kartą ma zostać przetworzona, token jest przekazywany do skarbca, a prawdziwe dane odpowiadające tokenowi są pobierane do procesu autoryzacji. Proces ten odbywa się praktycznie natychmiast, wykonywany automatycznie przez przeglądarkę lub aplikację.

Tokenizacja może zabezpieczyć nie tylko szczegóły płatności. Może być używany do ukrywania wszelkiego rodzaju poufnych informacji, dzięki czemu dostęp do nich mają tylko odpowiednie strony za zgodą. Adresy e-mail, numery telefonów, numery ubezpieczenia społecznego; prawie każdy rodzaj informacji, które mogłeś przechowywać w swoim Platforma CX, wszystkie mogą być skutecznie chronione poprzez tokenizację.

Zalety tokenizacji

Oczywistą zaletą tokenizacji jest to, że chroni wrażliwe informacje w przypadku naruszenia bezpieczeństwa danych. Jest to główna zaleta tokenizacji, zwiększająca znaczenie naruszeń bezpieczeństwa danych.

Tokenizacja przynosi korzyści nie tylko konsumentom, zapewniając ulepszone bezpieczeństwo, jednakże. Firmy korzystają również ze zmniejszenia wewnętrznej odpowiedzialności za zabezpieczenie poufnych danych. Każda organizacja, która zbiera poufne informacje, ma obowiązek chronić te informacje. 

Ponieważ tokenizacja wykorzystuje bazę danych innej firmy do bezpiecznego przechowywania danych, przedsiębiorstwa mają mniejsze obciążenie związane z zapewnieniem personelu i zasobów do zarządzania nimi. Przechowywanie tokenów zamiast wrażliwych danych upraszcza oprogramowanie i procedury niezbędne do zachowania zgodności z przepisami o ochronie danych.

Wady tokenizacji

Stosowanie tokenizacji może mieć zarówno wady, jak i zalety. Po pierwsze, tokenizacja zwiększa złożoność Twojej infrastruktury IT. Aby zapewnić bezpieczeństwo danych klienta, musi on przejść przez systemy detokenizacji i retokenizacji podczas autoryzacji. 

Warto jednak pamiętać, że wszelka złożoność dodana przez Środki bezpieczeństwa zatrudnionych to niewielka cena, jaką trzeba zapłacić, aby zapewnić bezpieczeństwo danych klienta i zachować zgodność.

Tokenizacja może nie być obsługiwana przez wszystkie podmioty przetwarzające płatności, więc może być konieczne sprawdzenie, czy Twoi preferowani partnerzy są zgodni. Warto również pamiętać, aby zbadać bezpieczeństwo i wiarygodność dostawców, którzy będą dla Ciebie przechowywać Twoje dane. 

Przechowywanie danych poza siedzibą firmy uprości procedury dla Twojej firmy, ale oznacza to, że polegasz na osobach trzecich, które zapewnią bezpieczeństwo cennych danych klienta.

Co to jest szyfrowanie?

Szyfrowanie to kolejna popularna metoda ochrony danych, która może być używana do ochrony wszystkiego, od afiliacyjnego API do przechowywanie w chmurze. W przeciwieństwie do tokenizacji polega na przekształceniu istniejących danych w celu zapewnienia ich bezpieczeństwa. Szyfrowanie wykorzystuje algorytmy do zmiany informacji w postaci zwykłego tekstu na nieczytelny tekst zaszyfrowany.

Aby informacje zostały odszyfrowane i ponownie odczytane, odbiorca danych wymaga algorytmu i klucza deszyfrującego. Gwarantuje to, że tylko zamierzeni odbiorcy informacji mogą uzyskać do nich dostęp.

Można zastosować szyfrowanie oparte na plikach (FBE) lub szyfrowanie całego dysku (FDE). Pierwsza z nich wymaga oddzielnego klucza szyfrowania dla każdej informacji, do której można uzyskać dostęp, a druga umożliwia przeglądanie całej bazy danych za pomocą jednego klucza szyfrowania.

Szyfrowanie symetryczne i asymetryczne

Istnieją dwa główne podejścia do szyfrowania: szyfrowanie kluczem symetrycznym i szyfrowanie kluczem asymetrycznym.

  • Symetryczne szyfrowanie klucza używa jednego klucza do szyfrowania i odszyfrowywania informacji. Ten rodzaj szyfrowania jest często prostszy w konfiguracji, ale oznacza to, że jeśli klucz zostanie naruszony, wszystkie dane, które zostały użyte do zabezpieczenia, stają się podatne na ataki.
  • Asymetryczne szyfrowanie kluczem, czyli szyfrowanie z kluczem publicznym, wykorzystuje dwa różne klucze, jeden do szyfrowania, a drugi do odszyfrowywania. Klucz publiczny może być używany tylko do szyfrowania danych, a drugi klucz prywatny służy do ich odszyfrowania. Zmniejsza to liczbę stron odpowiedzialnych za klucz deszyfrujący, minimalizując w ten sposób ryzyko jego złamania.

Zastosowania szyfrowania 

Szyfrowanie jest jedną z najczęściej stosowanych metod zabezpieczania danych i jako takie jest wykorzystywane na wiele różnych sposobów. Firmy używają szyfrowania do ochrony informacji o kartach płatniczych i danych posiadaczy kart. Może być również używany do ochrony danych osobowych i niepublicznych danych osobowych.

Informacje przesyłane w Internecie są często chronione za pomocą Secure Sockets Layer szyfrowanie (SSL). Strony internetowe, które się chwalą certyfikaty SSL zostały zweryfikowane jako autentyczne, dlatego certyfikat SSL jest często używany jako szybki wskaźnik, czy strona internetowa lub sklep eCommerce jest godny zaufania, co czyni go niezbędnym, jeśli chcesz generować sprzedaż i wzrost utrzymania klienta

Wiele komputerowych systemów operacyjnych i smartfonów ma wbudowane funkcje szyfrowania w celu ochrony danych osobowych do tego stopnia, że ​​wielu użytkowników być może nawet nie zdaje sobie sprawy, że używa narzędzi szyfrujących. Dostępnych jest również wiele rodzajów oprogramowania i aplikacji do szyfrowania innych firm.

Zalety szyfrowania

Szyfrowanie może służyć do ochrony szerokiego zakresu typów informacji. Oprócz danych osobowych i danych finansowych szyfrowanie może być również wykorzystywane do ochrony nieustrukturyzowanych danych, takich jak wiadomości e-mail lub pliki. 

Oznacza to, że duże fragmenty informacji można łatwo chronić za pomocą szyfrowania, podczas gdy tokenizacja jest tak naprawdę wykorzystywana tylko w przypadku mniejszych fragmentów danych, takich jak numery kart kredytowych. Jeśli niedawno zwiększyłeś swoją bazę klientów dzięki nowej kampanii marketingowej, możesz zdecydować się na szyfrowanie jako sposób na zabezpieczenie mnóstwa nowych danych klientów.

Klucze odszyfrowywania można łatwo udostępniać innym bez tworzenia luk w zabezpieczeniach, co oznacza, że ​​bezpieczne udostępnianie informacji lub zdalny dostęp do plików jest łatwiejsze dzięki szyfrowaniu niż tokenizacji.

Szyfrowanie można również przeprowadzić bardzo szybko. Duże ilości informacji można zabezpieczyć w stosunkowo krótkim czasie, w przeciwieństwie do tokenizacji, w której zmieniany jest każdy znak zabezpieczanych danych.

Wady szyfrowania

Niestety, korzystanie z szyfrowania ma również wady. Wszystko, czego haker potrzebuje, aby uzyskać dostęp do chronionych informacji, to klucz, więc jeśli uzyska do niego dostęp w nikczemny sposób, to będzie miał dostęp do wszystkich danych nim zaszyfrowanych. Jest to w przeciwieństwie do tokenizacji, w której każda wartość jest chroniona osobnym, randomizowanym tokenem.

Mogą również wystąpić pewne problemy dotyczące funkcjonalności oprogramowania z powodu szyfrowania. Zaszyfrowany tekst używany do szyfrowania może nie być obsługiwany przez niektóre narzędzia programowe, więc przed wybraniem oprogramowania szyfrującego może być konieczne przeprowadzenie badań w celu zapewnienia zgodności.

Wreszcie szyfrowanie często działa najlepiej w połączeniu z dodatkowymi warstwami zabezpieczeń, takimi jak szyfrowanie wieloskładnikowe. Pomyśl o tym jako o wielu warstwach zabezpieczeń współpracujących ze sobą, tworząc silniejszą całość, podobną do funkcji takiej jak narzędzie do analizy nastrojów pracujemy nad stworzeniem lepszego doświadczenia chatbota. Dodanie dodatkowych warstw zabezpieczeń może spowodować, że proces szyfrowania stanie się bardziej kosztowny i czasochłonny niż pierwotnie planowano.

Tokenizacja a szyfrowanie

Istnieje kilka kluczowych czynników, które należy wziąć pod uwagę przy podejmowaniu decyzji, czy szyfrowanie lub tokenizacja jest właściwym wyborem dla Twojej firmy.

Sektor

Rodzaje zagrożeń bezpieczeństwa, z jakimi możesz się spotkać, będą zależeć od sektora, w którym działasz. Raport z 2020 r. wykazał, że zdecydowana większość danych uzyskanych w przypadku naruszeń w branży detalicznej to dane osobowe lub dane dotyczące płatności. 

Jeśli prowadzisz sklep eCommerce, będziesz szukał sposobu na zabezpieczenie szczegółów płatności klienta, tak jak będziesz szukał sposobów na ulepszenie kontroli zapasów lub ulepsz swój wskaźniki umożliwiające sprzedaż. Tokenizacja zapewnia na to wydajny i niezawodny sposób.

Jeśli działasz w sektorze opieki zdrowotnej i potrzebujesz zabezpieczyć dużą liczbę plików lub baz danych zawierających dane pacjentów, szyfrowanie jest prawdopodobnie szybszą i wydajniejszą metodą.

Zagrożenia bezpieczeństwa

Rodzaje zagrożeń bezpieczeństwa, z którymi możesz się spotkać, będą również odgrywać rolę w wyborze metody ochrony danych. Tokenizacja jest znacznie trudniejsza do odwrócenia niż szyfrowanie danych, które można łatwo odwrócić zgodnie z projektem, o ile masz klucz odszyfrowywania. 

Ponieważ tokeny nie zawierają żadnych oryginalnych danych, są praktycznie bezużyteczne dla podmiotów zewnętrznych, którym uda się je uzyskać za pośrednictwem włamanie lub inne nikczemne środki. Jeśli Twoja branża jest podatna na włamania lub inne cyberataki, tokenizacja może zapewnić skuteczniejszą ochronę.

Jeśli Twoja firma zatrudnia wielu zdalnych pracowników w kraju, a nawet na całym świecie, prawdopodobnie będą musieli udostępniać informacje w chmurze lub za pomocą innych zdalnych metod. Jest to kolejny czynnik, który należy wziąć pod uwagę przy rozważaniu metod ochrony. 

Spełnienie

Zgodność jest kolejnym czynnikiem do rozważenia. Ponieważ szyfrowanie można odwrócić, PCI DSS uważa je za niepewne, co oznacza, że ​​inne metody ochrona danych klientów musi być używany razem z nim, aby był zgodny z przepisami. Te inne metody mogą skutkować dodatkowymi kosztami dla Twojej firmy, które nie były pierwotnie przewidziane w budżecie.

Z drugiej strony tokenizacja jest uważana za zgodną. Oznacza to, że nie trzeba podejmować żadnych innych kroków w celu osiągnięcia zgodności. Może to obniżyć koszty i oznacza, że ​​w przypadku narażenia środowiska na szwank nie będziesz musiał martwić się karami ani innymi konsekwencjami. 

Skalowalność

Szyfrowanie jest znacznie łatwiejsze w użyciu na dużą skalę niż tokenizacja. Jeśli Twoja organizacja musi szyfrować duże ilości różnych informacji, szyfrowanie może oferować bardziej wszechstronną metodę ochrony. 

Tokenizacja boryka się z problemami ze skalowalnością, ponieważ zwiększenie liczby używanych tokenów zwiększa ryzyko wystąpienia kolizji. Kolizja występuje podczas próby przypisania tego samego tokena do dwóch części danych. 

Następnie należy ponownie uruchomić proces, aby przypisać nowy token, który jeszcze nie istnieje. Im więcej informacji tokenizujesz, tym większa szansa, że ​​token zostanie zduplikowany, co spowalnia cały proces.

Który jest najlepszy dla Twojej firmy?

Niestety nie ma łatwej odpowiedzi na to pytanie. W rzeczywistości najbardziej prawdopodobną odpowiedzią są obie.

Tokenizacja i szyfrowanie oferują zaskakująco różne zalety i wady w celu ochrony poufnych informacji. Tokenizacja zapewnia bezpieczeństwo, które jest trudniejsze do cofnięcia, ale jest nieporęczne i nieefektywne na dużą skalę.

Z drugiej strony szyfrowanie jest łatwiejsze do odwrócenia, ale znacznie lepiej nadaje się do ochrony dużych ilości danych i znacznie ułatwia udostępnianie tych informacji.

Będziesz musiał dokładnie przeanalizować potrzeby swojej firmy, aby określić, która metoda najlepiej sprawdzi się w różnych sytuacjach. Jasne jest jednak, że obie metody mają wartość w zapewnianiu bezpieczeństwa informacji Twojej organizacji i klienta.

Przeczytaj więcej

O Grace Lau

Grace Lau jest dyrektorem ds. rozwoju treści w Dialpad, opartej na sztucznej inteligencji platformie komunikacyjnej w chmurze i systemie telefonii biznesowej VoIP dla lepszej i łatwiejszej współpracy zespołowej. Ma ponad 10-letnie doświadczenie w pisaniu treści i strategii. Obecnie jest odpowiedzialna za prowadzenie strategii treści markowych i redakcyjnych, współpracując z zespołami SEO i Ops w celu budowania i pielęgnowania treści.