Токенизация и шифрование: ключевые отличия, важные для вашего бизнеса

Обновлено: 2022 февраля 07 г. / Автор статьи: Грейс Лау

Все предприятия, большие или малые, будут собирать, получать, хранить и/или распространять данные в той или иной форме. Везде, где обрабатываются данные, организации несут ответственность за обеспечение безопасности данных. 

Есть много различных способов, которыми это может быть достигнуто, и токенизация и шифрование являются двумя наиболее яркими примерами. 

Мы рассмотрим, что включает в себя каждый метод, его преимущества и недостатки, и попытаемся определить, является ли один метод значительно лучше другого.

Что такое токенизация?

Вы можете узнать термин токенизация, если ваша компания предлагает поддержка чат-ботов, хотя здесь мы не говорим о процессе обработки естественного языка. Однако в некотором смысле принцип тот же; оба случая токенизации включают получение информации и изменение способа ее представления.

Тип токенизации, который нас здесь интересует, — это ветвь криптографии, термин, происходящий из стандарта безопасности данных индустрии платежных карт (PCI DSS). Проще говоря, токенизация включает в себя получение осмысленной части данных и преобразование ее в строку случайных символов.

Эта строка символов является токеном. Токены случайным образом извлекаются из базы данных, известной как хранилище токенов, для замены конфиденциальных данных. Маркер не имеет собственной ценности, действуя только как замена данных. 

В случае утечки данных невозможно использовать токен для доступа к исходным данным, обеспечивая их безопасность. Это связано с тем, что при токенизации не используется криптографический метод для преобразования конфиденциальные бизнес-данные, поэтому нет никакой математической связи между токеном и данными, которые он защищает.

Токенизация использует базу данных хранилища токенов для хранения связи между токеном и исходной информацией. Это означает, что даже в случае утечки данных невозможно отменить алгоритм доступа к конфиденциальным данным, которые скрывает токен, как в случае с данными, которые были зашифрованы.

Токены могут быть представлены различными способами. В некоторых случаях токены могут включать символы из информации, которую они защищают, чтобы сделать их более удобными для пользователя. Например, номер кредитной карты, токенизированный в целях безопасности, может отображаться как «************5678», где последние четыре цифры соответствуют фактическому номеру карты. 

Номер кредитной карты был токенизирован, поэтому получить к нему доступ невозможно, и продавец имеет доступ только к токену. Но, сохраняя последние четыре цифры нетронутыми, клиент, покупающий что-то в Интернете, может определить, какую карту или банковский счет он использовал для совершения покупки, не раскрывая никакой конфиденциальной информации.

Использование токенизации

Токенизация имеет множество применений. Как упоминалось выше, токенизация часто используется в Электронная коммерция для защиты платежных реквизитов клиентов, совершающих покупки в Интернете. Поскольку реквизиты платежа заменены токеном, продавец не может просмотреть конфиденциальную информацию. 

Когда платеж по карте должен быть обработан, токен отправляется в хранилище, и для процесса авторизации извлекаются реальные данные, соответствующие токену. Этот процесс происходит практически мгновенно и выполняется автоматически браузером или приложением.

С помощью токенизации можно защитить не только платежные реквизиты. Его можно использовать для сокрытия всех видов конфиденциальной информации, предоставляя доступ к ней только соответствующим сторонам с разрешения. Адреса электронной почты, номера телефонов, номера социального страхования; почти любую информацию, которую вы могли хранить в своем CX-платформа, все они могут быть эффективно защищены с помощью токенизации.

Преимущества токенизации

Очевидным преимуществом токенизации является то, что она защищает конфиденциальную информацию в случае утечки данных. Это главное преимущество токенизации, придающее растущее значение утечкам данных.

Токенизация не только приносит пользу потребителям, предоставляя улучшенные безопасность, Однако. Предприятия также получают выгоду от снижения внутренней ответственности за защиту конфиденциальных данных. Любая организация, собирающая конфиденциальную информацию, обязана защищать эту информацию. 

Поскольку токенизация использует стороннюю базу данных для безопасного хранения данных, на предприятия снижается нагрузка по предоставлению персонала и ресурсов для управления ими. Хранение токенов вместо уязвимых данных упрощает программное обеспечение и процедуры, необходимые для соблюдения законов о защите данных.

Недостатки токенизации

Использование токенизации может иметь как недостатки, так и преимущества. Во-первых, токенизация усложняет вашу ИТ-инфраструктуру. Чтобы гарантировать, что данные клиента останутся в безопасности, они должны пройти через системы детокенизации и ретокенизации во время авторизации. 

Однако стоит иметь в виду, что любая сложность, добавляемая Меры безопасности наем — это небольшая цена за обеспечение безопасности данных вашего клиента и соблюдение нормативных требований.

Токенизация может поддерживаться не всеми платежными системами, поэтому вам может потребоваться выяснить, совместимы ли ваши предпочтительные партнеры. Также стоит помнить о проверке безопасности и надежности поставщиков, которые будут хранить ваши данные для вас. 

Хранение данных вне офиса упростит процедуры для вашего бизнеса, но это означает, что вы полагаетесь на третьи стороны для обеспечения безопасности ценных данных вашего клиента.

Что такое шифрование?

Шифрование — еще один популярный метод защиты данных, который можно использовать для защиты всего, от партнерского API до облачного хранения. В отличие от токенизации, он включает в себя преобразование существующих данных для обеспечения их безопасности. Шифрование использует алгоритмы для преобразования простой текстовой информации в нечитаемый зашифрованный текст.

Чтобы информация была расшифрована и снова стала читаемой, получателю данных требуется алгоритм и ключ дешифрования. Это гарантирует, что только предполагаемые получатели информации могут получить к ней доступ.

Можно использовать файловое шифрование (FBE) или полное шифрование диска (FDE). Первый требует отдельного ключа шифрования для доступа к каждой части информации, а второй позволяет просматривать всю базу данных с помощью одного ключа шифрования.

Симметричное и асимметричное шифрование

Существует два основных подхода к шифрованию: шифрование с симметричным ключом и шифрование с асимметричным ключом.

  • Шифрование с симметричным ключом использует один ключ для шифрования и дешифрования информации. Этот тип шифрования часто проще в настройке, но это означает, что если ключ скомпрометирован, то все данные, которые он использовал для защиты, становятся уязвимыми.
  • Шифрование с асимметричным ключом, или шифрование с открытым ключом, использует два разных ключа, один для шифрования и один для дешифрования. Открытый ключ можно использовать только для шифрования данных, а второй закрытый ключ используется для их расшифровки. Это уменьшает количество сторон, ответственных за ключ дешифрования, что сводит к минимуму риск его компрометации.

Использование шифрования 

Шифрование является одним из наиболее часто используемых методов защиты данных и, как таковое, используется самыми разными способами. Компании используют шифрование для защиты информации о платежных картах и ​​данных держателей карт. Его также можно использовать для защиты информации, позволяющей установить личность, и непубличной личной информации.

Информация, передаваемая в Интернете, часто защищается с помощью Уровень защищенных гнезд (SSL) шифрование. Веб-сайты, которые хвастаются SSL сертификаты были проверены как подлинные, и поэтому SSL-сертификат часто используется в качестве быстрого индикатора того, является ли веб-сайт или Магазин электронной коммерции заслуживает доверия, что делает его необходимым, если вы хотите увеличить продажи и увеличить удержание клиентов

Многие компьютерные операционные системы и операционные системы для смартфонов имеют встроенные возможности шифрования для защиты личной информации, до такой степени, что многие пользователи, возможно, даже не осознают, что используют инструменты шифрования. Также доступны многие типы стороннего программного обеспечения и приложений для шифрования.

Преимущества шифрования

Шифрование может использоваться для защиты широкого круга типов информации. Наряду с личной информацией и финансовыми сведениями шифрование также может использоваться для защиты неструктурированных данных, таких как электронные письма или файлы. 

Это означает, что большие объемы информации можно легко защитить с помощью шифрования, тогда как токенизация действительно используется только для небольших фрагментов данных, таких как номера кредитных карт. Если вы недавно увеличили свою клиентскую базу благодаря новой маркетинговой кампании, вы вполне можете выбрать шифрование как способ защитить множество новых данных о клиентах.

Ключи дешифрования легко передаются другим, не создавая уязвимостей в системе безопасности, а это означает, что безопасный обмен информацией или удаленный доступ к файлам проще с шифрованием, чем с токенизацией.

Шифрование также может быть выполнено очень быстро. Большие объемы информации могут быть защищены за относительно короткое время, в отличие от токенизации, когда каждый символ защищаемых данных изменяется.

Недостатки шифрования

К сожалению, у шифрования есть и недостатки. Все, что нужно хакеру для доступа к защищенной информации, — это ключ, поэтому, если он получит доступ к ней нечестным путем, он получит доступ ко всем данным, зашифрованным с ее помощью. Это отличается от токенизации, где каждое значение защищено отдельным рандомизированным токеном.

Также могут возникнуть некоторые проблемы с функциональностью программного обеспечения из-за шифрования. Зашифрованный текст, используемый при шифровании, может не поддерживаться некоторыми программными инструментами, поэтому перед выбором программного обеспечения для шифрования может потребоваться провести исследование для обеспечения совместимости.

Наконец, шифрование часто работает лучше всего в сочетании с дополнительными уровнями безопасности, такими как многофакторное шифрование. Думайте об этом как о нескольких уровнях безопасности, работающих вместе, чтобы сформировать более сильное целое, подобно такой функции, как инструмент анализа настроений работая над созданием лучшего опыта чат-бота. Добавление дополнительных уровней безопасности может привести к тому, что процесс шифрования станет более дорогостоящим и трудоемким, чем вы изначально планировали.

Токенизация против шифрования

Есть несколько ключевых факторов, которые вы должны учитывать при принятии решения о том, является ли шифрование или токенизация правильным выбором для вашего бизнеса.

Сектор

Виды угроз безопасности, с которыми вы можете столкнуться, будут зависеть от того, в каком секторе вы работаете. Отчет за 2020 год показал, что подавляющее большинство данных, полученных в результате взломов в розничной торговле, были либо личными данными, либо платежными данными. 

Если вы управляете магазином электронной коммерции, вы будете искать способ обеспечить безопасность платежных реквизитов вашего клиента, так же как вы будете искать способы улучшить свой управление запасами или улучшите свой метрики поддержки продаж. Токенизация обеспечивает эффективный и надежный способ сделать это.

Если вы работаете в сфере здравоохранения и вам необходимо защитить большое количество файлов или баз данных, содержащих записи о пациентах, то шифрование, вероятно, является более быстрым и эффективным методом.

Безопасность

Типы угроз безопасности, с которыми вы можете столкнуться, также будут играть роль в том, какой метод вы выберете для защиты своих данных. Токенизацию гораздо сложнее отменить, чем шифрование данных, которое легко отменить по дизайну, если у вас есть ключ дешифрования. 

Поскольку токены не содержат каких-либо исходных данных, они фактически бесполезны для любых сторонних лиц, которые могут получить их через взлом или другими гнусными средствами. Если ваша отрасль подвержена взлому или другим кибератакам, то токенизация вполне может обеспечить более эффективную защиту.

Если в вашем бизнесе работает много удаленных работников внутри страны или даже по всему миру, то, вероятно, им придется обмениваться информацией в облаке или с помощью других удаленных методов. Это еще один фактор, который необходимо учитывать при рассмотрении методов защиты. 

Комплаенс

Соблюдение требований — еще один фактор, который следует учитывать. Поскольку шифрование можно отменить, PCI DSS считает его небезопасным, а это означает, что другие методы защита данных клиентов должны использоваться вместе с ним в соответствии с правилами. Эти другие методы могут привести к дополнительным расходам для вашего бизнеса, которые вы изначально не заложили в бюджет.

С другой стороны, токенизация считается совместимой. Это означает, что для достижения соответствия не требуется предпринимать никаких других шагов. Это может сократить расходы и означает, что в случае взлома вашей среды вам не нужно будет беспокоиться о штрафах или других последствиях. 

Масштабируемость

Шифрование гораздо проще использовать в больших масштабах, чем токенизацию. Если вашей организации необходимо зашифровать большие объемы разнообразной информации, шифрование может предложить более универсальный метод защиты. 

Токенизация страдает от проблем с масштабируемостью, поскольку увеличение количества используемых токенов увеличивает риск возникновения коллизий. Конфликт возникает при попытке назначить один и тот же токен двум частям данных. 

Затем процесс необходимо перезапустить, чтобы назначить новый токен, которого еще не существует. Чем больше информации вы токенизируете, тем больше шансов, что токен будет продублирован, что замедлит весь процесс.

Что лучше для вашего бизнеса?

К сожалению, нет простого способа ответить на этот вопрос. На самом деле, наиболее вероятным ответом является и то, и другое.

Токенизация и шифрование предлагают удивительно разные плюсы и минусы для защиты вашей конфиденциальной информации. Токенизация обеспечивает безопасность, которую сложнее отменить, но она громоздка и неэффективна в масштабе.

Шифрование, с другой стороны, легче отменить, но оно гораздо лучше подходит для защиты больших объемов данных и значительно упрощает обмен этой информацией.

Вам придется тщательно проанализировать потребности вашего бизнеса, чтобы определить, какой метод лучше всего подходит для вас в различных ситуациях. Однако ясно, что оба метода имеют значение для обеспечения безопасности информации вашей организации и вашего клиента.

Узнать больше

О Грейс Лау

Грейс Лау (Grace Lau) - директор по развитию контента в Dialpad, облачной коммуникационной платформе на базе искусственного интеллекта и бизнес-телефонной системе VoIP для улучшения и упрощения совместной работы в команде. У нее более 10 лет опыта в написании контента и разработке стратегии. В настоящее время она отвечает за разработку стратегии создания брендированного и редакционного контента, сотрудничая с командами SEO и Ops для создания и развития контента.

Подключение: