Tekniska ämnen

Vad är Tokenization?

Illustration av IT-objekt med fokus på ett frågetecken

Översikt

Tokenisering är en process genom vilken PAN, PHI, PII och andra känsliga dataelement ersätts av surrogatvärden eller tokens. Tokenisering är egentligen en form av kryptering, men de två termerna används vanligtvis på olika sätt. Kryptering innebär vanligen att data som kan läsas av människor kodas till obegriplig text som endast kan avkodas med rätt dekrypteringsnyckel, medan tokenisering (eller "maskering" eller "fördunkling") innebär någon form av formatbevarande dataskydd: känsliga värden konverteras till icke-känsliga ersättningsvärden - tokens - med samma längd och format som originaldata.

Tokens delar vissa egenskaper med de ursprungliga dataelementen, t.ex. teckenuppsättning, längd etc.
Varje dataelement mappas till en unik token.
Tokens är deterministiska: om man upprepade gånger genererar en token för ett visst värde får man samma token.
En tokeniserad databas kan sökas genom att tokenisera söktermerna och söka efter dessa.

Som en form av kryptering är tokenisering en viktig strategi för skydd av dataintegritet för alla företag. Den här sidan ger en mycket översiktlig bild av vad tokenisering är och hur det fungerar.

Tokenisering

Var kom tokenisering ifrån?

Digital tokenisering skapades först av TrustCommerce 2001 för att hjälpa en kund att skydda kundernas kreditkortsinformation. Handlare lagrade kortinnehavardata på sina egna servrar, vilket innebar att alla som hade tillgång till deras servrar potentiellt kunde se eller dra nytta av dessa kunders kreditkortsnummer.

TrustCommerce utvecklade ett system som ersatte primära kontonummer (PAN) med ett slumpmässigt nummer som kallas token. Detta gjorde det möjligt för handlare att lagra och referera till tokens när de accepterade betalningar. TrustCommerce konverterade tokens tillbaka till PAN och behandlade betalningarna med hjälp av de ursprungliga PAN. På så sätt isolerades risken för TrustCommerce, eftersom handlarna inte längre hade några faktiska PAN-nummer lagrade i sina system.

I takt med att säkerhetsproblemen och myndighetskraven ökade visade den första generationens tokenisering att tekniken var värdefull, och andra leverantörer erbjöd liknande lösningar. Problemen med detta tillvägagångssätt blev dock snart tydliga.

Vilka typer av tokenisering finns tillgängliga?

Det finns två typer av tokenisering: reversibel och irreversibel.

Reversibla tokens kan detokeniseras - omvandlas tillbaka till sina ursprungliga värden. I integritetsterminologi kallas detta för pseudonymisering. Sådana tokens kan vidare delas in i kryptografiska och icke-kryptografiska, även om denna distinktion är artificiell eftersom all tokenisering egentligen är en form av kryptering.

Kryptografisk tokenisering genererar tokens med hjälp av stark kryptografi; dataelementen i klartext lagras inte någonstans - bara den kryptografiska nyckeln. NIST-standarden FF1-mode AES är ett exempel på kryptografisk tokenisering.

Icke-kryptografisk tokenisering innebar ursprungligen att tokens skapades genom att slumpmässigt generera ett värde och lagra klartext och motsvarande token i en databas, som det ursprungliga TrustCommerce-erbjudandet. Detta tillvägagångssätt är konceptuellt enkelt, men innebär att varje begäran om tokenisering eller detokenisering måste göra en serverbegäran, vilket ökar omkostnader, komplexitet och risk. Det är inte heller skalbart på ett bra sätt. Tänk på en begäran om att tokenisera ett värde: servern måste först göra en databasuppslagning för att se om den redan har en token för det värdet. Om så är fallet returneras den. Om inte måste den generera ett nytt slumpmässigt värde och sedan göra en ny databasuppslagning för att se till att det värdet inte redan har tilldelats för en annan cleartext. Om så är fallet måste den generera ett nytt slumpmässigt värde och kontrollera det, och så vidare. När antalet skapade tokens växer ökar den tid som krävs för dessa databasuppslagningar; värre är att sannolikheten för sådana kollisioner växer exponentiellt. Sådana implementeringar använder också vanligtvis flera token-servrar för lastbalansering, tillförlitlighet och failover. Dessa måste utföra databassynkronisering i realtid för att säkerställa tillförlitlighet och konsekvens, vilket ökar komplexiteten och omkostnaderna ytterligare.

Modern icke-kryptografisk tokenisering fokuserar på "statslösa" eller "vaultless" metoder som använder slumpmässigt genererade metadata som kombineras på ett säkert sätt för att skapa tokens. Sådana system kan fungera frikopplade från varandra och skalas i princip oändligt eftersom de inte kräver någon synkronisering utöver kopiering av de ursprungliga metadata, till skillnad från databasstödd tokenisering.

Irreversibla tokens kan inte konverteras tillbaka till sina ursprungliga värden. I integritetsterminologi kallas detta anonymisering. Sådana tokens skapas genom en enkelriktad funktion, vilket gör det möjligt att använda anonymiserade dataelement för tredjepartsanalyser, produktionsdata i lägre miljöer etc.

Fördelar med tokenisering

Tokenisering kräver minimala förändringar för att lägga till ett starkt dataskydd i befintliga applikationer. Traditionella krypteringslösningar förstorar data, vilket kräver betydande ändringar av databas- och programdataschema samt ytterligare lagring. Det innebär också att skyddade fält inte klarar valideringskontroller, vilket kräver ytterligare kodanalys och uppdateringar. Tokens använder samma dataformat, kräver ingen ytterligare lagring och kan klara valideringskontroller.

När applikationer delar data är tokenisering också mycket enklare att lägga till än kryptering, eftersom datautbytesprocesserna är oförändrade. Faktum är att många mellanliggande dataanvändningar - mellan inmatning och slutlig disposition - vanligtvis kan använda token utan att någonsin behöva avtokenisera den. Detta förbättrar säkerheten, vilket gör det möjligt att skydda data så snart som möjligt när de förvärvas och hålla dem skyddade under större delen av deras livscykel.

Inom ramen för säkerhetskraven kan tokens behålla partiella klartextvärden, t.ex. de inledande och avslutande siffrorna i ett kreditkortsnummer. Detta gör att nödvändiga funktioner - t.ex. kortdirigering och "sista fyra"-verifiering eller utskrift på kundkvitton - kan utföras med hjälp av token utan att den behöver konverteras tillbaka till det faktiska värdet.

Denna möjlighet att direkt använda tokens förbättrar både prestanda och säkerhet: prestanda, eftersom det inte finns någon overhead när ingen detokenisering krävs; och säkerhet, eftersom det finns mindre attackyta tillgänglig eftersom cleartexten aldrig återställs.

Vad används tokenisering till?

Tokenisering används för att säkra många olika typer av känsliga data, inklusive:

Uppgifter om betalkort
Amerikanska personnummer och andra nationella identifikationsnummer
Telefonnummer
Passnummer
Nummer på körkort
E-postadresser
Nummer på bankkonto
Namn, adress, födelsedatum

I takt med att antalet dataintrång ökar och datasäkerhet blir allt viktigare tycker organisationer att tokenisering är tilltalande eftersom det är lättare att lägga till i befintliga applikationer än traditionell kryptering.

Efterlevnad av PCI DSS

Att skydda betalkortsdata är ett av de vanligaste användningsfallen för tokenisering, delvis på grund av krav på routing för olika korttyper samt "last four"-validering av kortnummer. Tokenisering av kortdata fick ett tidigt uppsving tack vare de krav som ställdes av Payment Card Industry Security Standards Council (PCI SSC). PCI DSS (Payment Card Industry Data Security Standard) innebär att företag som hanterar betalkortsdata måste säkerställa att de uppfyller strikta cybersäkerhetskrav. Även om det enligt PCI DSS är tillåtet att säkra betalkortsdata med kryptering, kan handlare också använda tokenisering för att uppfylla efterlevnadsstandarderna. Eftersom dataflödena för betalningar är komplexa, högpresterande och väldefinierade är tokenisering mycket enklare att lägga till än kryptering.

Säkra känsliga data med tokenisering

Tokenisering blir ett alltmer populärt sätt att skydda data och kan spela en viktig roll i en lösning för skydd av dataintegritet. OpenText™ Cybersecurity är här för att hjälpa till att säkra känsliga affärsdata med OpenText™ Voltage™ SecureData, som erbjuder en mängd olika tokeniseringsmetoder för att passa alla behov.

Voltage SecureData och andra lösningar för cyberresiliens kan komplettera mänsklig intelligens med artificiell intelligens för att stärka alla företags datasäkerhet. Detta ger inte bara intelligent kryptering och en smartare autentiseringsprocess, utan gör det också möjligt att enkelt upptäcka nya och okända hot genom kontextuella hotinsikter.

Resurser

Relaterade produkter

OpenText™ Voltage™ Säkra data

Skydda värdefull data samtidigt som den är användbar för hybrid-IT

OpenText™ Data Discovery, skydd och efterlevnad

Förstå och säkra data för att minska risker, stödja efterlevnad och styra dataåtkomst

Se alla relaterade produkter

UtvaldaUtvalda

Analytics CloudAnalytics Cloud

Analytics DatabaseAnalytics Database

Business Intelligence och rapporteringBusiness Intelligence och rapportering

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Aviator Sök

Business Network CloudBusiness Network Cloud

Integration av leveranskedjanIntegration av leveranskedjan

Integrationstjänster för B2BIntegrationstjänster för B2B

Samarbete inom ekosystemSamarbete inom ekosystem

Affärsnätverk Aviator

Content CloudContent Cloud

DokumenthanteringDokumenthantering

AI-hantering av innehållAI-hantering av innehåll

Integration av företagIntegration av företag

Insamling och intelligent dokumentbearbetningInsamling och intelligent dokumentbearbetning

Information ArchivingInformation Archiving

ProcessautomatiseringProcessautomatisering

InformationsstyrningInformationsstyrning

Innehåll Aviator

Cybersecurity CloudCybersecurity Cloud

ApplikationssäkerhetApplikationssäkerhet

Identity and Access ManagementIdentity and Access Management

Datasekretess och dataskyddDatasekretess och dataskydd

Digitala utredningar och kriminalteknikDigitala utredningar och kriminalteknik

Underrättelser om hotUnderrättelser om hot

Upptäckt och hantering av hotUpptäckt och hantering av hot

Cybersäkerhet Aviator

DevOps CloudDevOps Cloud

DevOps-plattformDevOps-plattform

PPM och strategisk Portfolio ledningPPM och strategisk Portfolio ledning

KvalitetsstyrningKvalitetsstyrning

Functional TestingFunctional Testing

PrestandateknikPrestandateknik

DevOps Aviator

Experience CloudExperience Cloud

Web och varumärkesupplevelserWeb och varumärkesupplevelser

MeddelandenMeddelanden

Kundresa och dataKundresa och data

Media ManagementMedia Management

Contact Center AnalyticsContact Center Analytics

Erfarenhet Aviator

IT Operations CloudIT Operations Cloud

ServicehanteringServicehantering

FinOpsFinOps

AIOps och observerbarhetAIOps och observerbarhet

AutomatiseringAutomatisering

NätverkshanteringNätverkshantering

IT-drift Aviator

OpenText ThrustOpenText Thrust

Developer Cloud teknisk dokumentationDeveloper Cloud teknisk dokumentation

Aviator Thrust

PortfolioPortfolio

Dataskydd och säkerhetskopiering av slutpunkterDataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhetEndpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbeteHybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhetArkivering, eDiscovery och datasäkerhet

Information i ny tappningInformation i ny tappning

Artificiell intelligensArtificiell intelligens

IndustriIndustri

FöretagsapplikationerFöretagsapplikationer

Din resa till framgångDin resa till framgång

KundtjänstKundtjänst

Tjänster för kundframgångTjänster för kundframgång

Strategi & rådgivningStrategi & rådgivning

KonsulttjänsterKonsulttjänster

Tjänster för lärandeTjänster för lärande

Managed ServicesManaged Services

Hitta en partner på OpenTextHitta en partner på OpenText

Hitta en partnerlösningHitta en partnerlösning

Växa som partnerVäxa som partner

Bli en partner

TillgångsbibliotekTillgångsbibliotek

BloggarBloggar

HändelserHändelser

SamhällenSamhällen

KundberättelserKundberättelser

OpenText NavigatorOpenText Navigator

Utvalda

Analytics Cloud

Analytics Database

Business Intelligence och rapportering

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Business Network Cloud

Integration av leveranskedjan

Integrationstjänster för B2B

Samarbete inom ekosystem

Content Cloud

Dokumenthantering

AI-hantering av innehåll

Integration av företag

Insamling och intelligent dokumentbearbetning

Information Archiving

Processautomatisering

Informationsstyrning

Cybersecurity Cloud

Applikationssäkerhet

Identity and Access Management

Datasekretess och dataskydd

Digitala utredningar och kriminalteknik

Underrättelser om hot

Upptäckt och hantering av hot

DevOps Cloud

DevOps-plattform

PPM och strategisk Portfolio ledning

Kvalitetsstyrning

Functional Testing

Prestandateknik

Experience Cloud

Web och varumärkesupplevelser

Meddelanden

Kundresa och data

Media Management

Contact Center Analytics

IT Operations Cloud

Servicehantering

FinOps

AIOps och observerbarhet

Automatisering

Nätverkshantering

OpenText Thrust

Developer Cloud teknisk dokumentation

Portfolio

Dataskydd och säkerhetskopiering av slutpunkter

Endpoint-hantering och mobil säkerhet

Hybridarbete, e-post och teamsamarbete

Arkivering, eDiscovery och datasäkerhet

Information i ny tappning

Artificiell intelligens

Industri

Företagsapplikationer

Din resa till framgång

Kundtjänst

Tjänster för kundframgång

Strategi & rådgivning

Konsulttjänster

Tjänster för lärande

Managed Services

Hitta en partner på OpenText

Hitta en partnerlösning

Växa som partner

Tillgångsbibliotek

Bloggar

Händelser

Samhällen

Kundberättelser

OpenText Navigator