标记化与加密:对您的业务至关重要的关键差异

更新时间:2022-07-29 / 文章作者:Grace Lau

所有企业,无论大小,都会以某种形式收集、接收、存储和/或分发数据。 无论在何处处理数据,组织都有责任确保数据安全。 

有许多不同的方法可以实现这一点,标记化和加密是两个最突出的例子。 

我们将看看每种方法涉及的内容、优点和缺点,并尝试确定一种方法是否明显优于另一种方法。

什么是令牌化?

如果您的公司提供,您可能会识别术语标记化 聊天机器人支持,虽然我们这里不是在谈论自然语言处理中的过程。 然而,在某些方面,原理是相同的。 标记化的两个实例都涉及获取信息并更改其表示方式。

我们在这里关注的标记化类型是密码学的一个分支,该术语源自支付卡行业数据安全标准 (PCI DSS)。 简单来说,标记化涉及获取一段有意义的数据,并将其转换为一串随机字符。

这串字符就是令牌。 令牌是从称为令牌库的数据库中随机提取的,以替换敏感数据。 令牌本身没有价值,仅作为数据的替代品。 

如果发生数据泄露,则无法使用令牌访问原始数据,从而确保数据安全。 这是因为标记化不使用加密方法来转换 敏感的商业数据,因此令牌和它所保护的数据之间没有数学关系。

令牌化使用令牌库数据库来存储令牌与原始信息之间的关系。 这意味着即使发生数据泄露,也无法逆转算法来访问令牌隐藏的敏感数据,就像已加密的数据一样。

令牌可以以多种方式表示。 在某些情况下,令牌可能会包含来自它们所保护的信息的字符,以便更加用户友好。 例如,为安全起见,已标记化的信用卡号可能显示为“************5678”,其中最后四位数字是实际卡号。 

信用卡号已经被token化了,所以无法访问,商家只能访问token。 但通过保持最后四位数字不变,在线购买商品的客户可以识别他们用于购买的卡或银行账户,而不会泄露任何敏感信息。

标记化的用途

标记化有多种应用。 如上所述,标记化通常用于 电子商务 为了保护客户在线购物的付款细节。 由于支付明细已被代币取代,商户无法查看敏感信息。 

当要处理卡支付时,将令牌提交到保险库,并获取与令牌对应的真实数据用于授权过程。 这个过程几乎是瞬间发生的,由浏览器或应用程序自动执行。

代币化不仅可以保护支付细节。 它可以用来隐藏各种敏感信息,只允许相关方获得许可才能访问。 电子邮件地址、电话号码、社会安全号码; 几乎所有类型的信息你可能已经存储在你的 客户体验平台,都可以通过代币化得到有效保护。

代币化的优势

标记化的明显优势是它可以在数据泄露的情况下保护敏感信息。 这是标记化的主要优势,使数据泄露的重要性日益突出。

令牌化不仅通过提供改进的方式使消费者受益 保安, 然而。 企业还可以通过减少保护敏感数据的内部责任而受益。 任何收集敏感信息的组织都有责任保护该信息。 

由于标记化使用第三方数据库来安全地存储数据,因此减轻了企业提供人员和资源来管理数据的负担。 存储令牌而不是易受攻击的数据可以简化软件和保持符合数据保护法所需的程序。

代币化的缺点

使用标记化可能有缺点,也有优点。 首先,令牌化增加了您的 IT 基础架构的复杂性。 为了确保客户的详细信息保持安全,他们必须在获得授权时通过去令牌化和重新令牌化系统。 

但是,值得记住的是,由 安防措施 为保证客户数据的安全和合规性而付出的代价很小。

并非所有支付处理器都支持令牌化,因此您可能需要调查您的首选合作伙伴是否兼容。 还值得记住的是调查将为您存储数据的供应商的安全性和可靠性。 

异地存储数据将简化您的业务流程,但这确实意味着您需要依靠第三方来确保客户宝贵数据的安全。

什么是加密?

加密是另一种流行的数据保护方法,可用于保护从附属 API 到 云存储. 与标记化不同,它涉及转换现有数据以确保其安全。 加密使用算法将纯文本信息更改为不可读的密文。

为了使信息被解密并再次可读,数据接收器需要一个算法和一个解密密钥。 这可确保只有信息的预期接收者才能访问它。

可以使用基于文件的加密 (FBE) 或全盘加密 (FDE)。 前者需要一个单独的加密密钥来访问每条信息,后者允许使用一个加密密钥查看整个数据库。

对称和非对称加密

有两种主要的加密方法,对称密钥加密和非对称密钥加密。

  • 对称密钥加密 使用单个密钥来加密和解密信息。 这种类型的加密通常更容易设置,但这意味着如果密钥被泄露,那么它用来保护的所有数据都会变得容易受到攻击。
  • 非对称密钥加密或公钥加密,使用两个不同的密钥,一个用于加密,一个用于解密。 公钥只能用于加密数据,第二个私钥用于解密。 这减少了负责解密密钥的参与方的数量,从而最大限度地降低了密钥被泄露的风险。

加密的使用 

加密是保护数据的最常用方法之一,因此以多种方式使用。 企业使用加密来保护支付卡信息和持卡人数据。 它还可用于保护个人身份信息和非公开个人信息。

在 Internet 上传输的信息通常受到保护 安全套接字层 (SSL) 加密。 吹嘘的网站 SSL证书 已被验证为正版,因此 SSL 证书通常用作快速指示网站是否或 电子商务商店 是值得信赖的,如果你想产生销售和提升,它是必不可少的 留住客户

许多计算机操作系统和智能手机操作系统都具有内置加密功能来保护个人信息,以至于许多用户甚至可能没有意识到他们正在使用加密工具。 许多类型的第三方加密软件和应用程序也可用。

加密的优势

加密可用于保护范围广泛的信息类型。 除了个人信息和财务细节外,加密还可用于保护非结构化数据,例如电子邮件或文件。 

这意味着可以通过加密轻松保护大量信息,而令牌化仅真正用于较小的数据,例如信用卡号。 如果您最近通过新的营销活动增加了客户群,您可能会选择加密作为保护大量新客户详细信息安全的一种方式。

解密密钥很容易与他人共享,而不会造成安全漏洞,这意味着使用加密比使用令牌化更容易安全地共享信息或远程访问文件。

加密也可以非常快速地进行。 与令牌化相比,大量信息可以在相对较短的时间内得到保护,在令牌化中,被保护数据的每个字符都在被更改。

加密的缺点

不幸的是,使用加密也有缺点。 黑客访问受保护信息所需的所有内容都是密钥,因此如果他们通过恶意手段获得对它的访问权,那么他们就可以访问用它加密的所有数据。 这与标记化形成对比,其中每个值都使用单独的随机标记进行保护。

由于加密,软件功能也可能存在一些问题。 加密中使用的密文可能有些软件工具不支持,所以在选择加密软件之前可能需要进行研究以确保兼容性。

最后,当与附加的安全层(例如多因素加密)结合使用时,加密通常效果最佳。 将其视为多层安全性协同工作以形成一个更强大的整体,类似于诸如 情绪分析工具 努力创造更好的聊天机器人体验。 添加额外的安全层可能会导致加密过程变得比您最初计划的更加昂贵和耗时。

标记化与加密

在决定加密或令牌化是否是您业务的正确选择时,您应该考虑几个关键因素。

扇形

您可能面临的安全风险类型取决于您所在的行业。2020 年的一份报告发现,在零售行业违规中获得的绝大多数细节是个人详细信息或付款详细信息。 

如果您正在经营一家电子商务商店,您将寻找一种方法来确保客户的付款详细信息安全,就像您将寻找改善您的 库存控制 或改善你的 销售支持指标. 标记化提供了一种有效且可靠的方式来做到这一点。

如果您在医疗保健部门运营并需要保护大量包含患者记录的文件或数据库,那么加密可能是一种更快、更有效的方法。

安全风险

您可能面临的安全风险类型也将影响您选择保护数据的方法。 令牌化比数据加密更难逆转,只要你有解密密钥,数据加密就很容易被设计逆转。 

由于代币不包含任何原始数据,因此对于任何可能通过 黑客 或其他邪恶手段。 如果您的行业容易受到黑客攻击或其他网络攻击,那么标记化可能会提供更有效的保护。

如果您的企业在国内甚至全球雇用大量远程工作人员,那么他们很可能必须在云中或通过其他远程方法共享信息。 这是考虑保护方法时要考虑的另一个因素。 

合规性

合规性是另一个需要考虑的因素。 因为加密可以被逆转,PCI DSS 认为它是不安全的,这意味着其他方法 客户数据保护 必须与它一起使用才能符合法规。 这些其他方法可能会给您的企业带来您最初没有预算的额外成本。

另一方面,标记化被认为是合规的。 这意味着无需采取其他步骤即可实现合规。 这可以降低成本,并且意味着如果您的环境确实受到损害,您无需担心罚款或其他后果。 

可扩展性

加密比标记化更容易大规模使用。 如果您的组织需要加密大量不同的信息,加密可以提供更通用的保护方法。 

代币化存在可扩展性问题,因为增加使用的代币数量会增加发生冲突的风险。 尝试将相同的令牌分配给两条数据时会发生冲突。 

然后必须重新启动该过程以分配一个尚不存在的新令牌。 您标记化的信息越多,复制标记的可能性就越大,这会减慢整个过程。

哪个最适合您的业务?

不幸的是,没有简单的方法来回答这个问题。 事实上,最有可能的答案是两者兼而有之。

令牌化和加密都提供了令人惊讶的不同优点和缺点来保护您的敏感信息。 令牌化提供了更难撤消的安全性,但在规模上笨重且效率低下。

另一方面,加密更容易逆转,但更适合保护大量数据,并使信息共享变得更加容易。

您必须仔细分析您的业务需求,以确定在不同情况下哪种方法最适合您。 然而,很清楚的是,这两种方法在保证您的组织和客户的信息安全方面都具有价值。

了解更多

关于 Grace Lau

Grace Lau 是 Dialpad 的增长内容总监,Dialpad 是一个基于人工智能的云通信平台和 VoIP 商务电话系统,可实现更好、更轻松的团队协作。 她在内容写作和策略方面拥有超过 10 年的经验。 目前,她负责领导品牌和编辑内容策略,与 SEO 和运营团队合作构建和培育内容。