Сервис для
сео - оптимизаторов

Найди ошибки на сайте
Ошибки мешают продвижению сайта
Исправь ошибки на сайте
Сайт без ошибок продвигать легче
Получи новых клиентов
Новые клиенты принесут больше прибыль

Токенизация 101: Понимание основ

от WEX Корпоративные платежи

Для компаний, которые принимают платежи по кредитным и дебетовым картам, нарушение конфиденциальных данных клиентов является одним из наиболее серьезных рисков, с которыми они сталкиваются. Неспособность защитить данные ведет к финансовым затратам, дезертирству клиентов и потере репутации - все это влияет на итоговые показатели и общественное восприятие.

Чтобы защитить данные карты, продавцы могут зашифровать их или могут токенизировать. Но многих смущает, что именно представляют собой эти два метода, чем они отличаются и как они дополняют друг друга.

Стандарт безопасности данных в индустрии платежных карт (PCI DSS) требует, чтобы те, кто работает с платежными картами, придерживались определенных регуляторных методов. По соображениям безопасности физические и юридические лица, которые собирают, хранят и передают данные карты или конфиденциальные данные аутентификации, должны преобразовать эту информацию с обычного языка в код. Двумя основными способами преобразования конфиденциальных данных являются шифрование и токенизация.

Понимание Шифрования

Целью большинства инструментов и методов шифрования является шифрование данных, а затем предоставление возможности их расшифровки или дешифрования при необходимости.

Думайте о шифровании как о коде, мало чем отличающемся от того, который используют армии для отправки сообщений своим командирам или союзникам в военное время. Он использует алгоритм для шифрования информации и делает ее нечитаемой для всех без надлежащего ключа дешифрования. Зашифрованные или зашифрованные данные часто находятся на внутренних серверах или сетях компании.

PCI DSS требует, чтобы данные карты были защищены при передаче, и обычно для этой цели используется SSL / TLS (теперь> TLS 1.0 для PCI DSS 3.1), шифруя данные в движении. Это данные в состоянии покоя, которые являются наиболее уязвимыми, так как они более доступны для хакеров, желающих раскрыть и украсть их. Если опытный хакер может расшифровать данные, у него есть ключ, чтобы разблокировать всю конфиденциальную информацию, которая хранится. Понятно, что шифрование не является полностью безопасным перед лицом угроз безопасности.

Понимание токенизации

Многие компании считают, что токенизация дешевле, проще в использовании и более безопасна, чем сквозное шифрование.

Токенизация заменяет данные оригинальной карты уникальным, сгенерированным заполнителем или «токеном». Поскольку токены генерируются случайным образом и не существует алгоритма для восстановления исходной информации, они сами по себе не имеют никакого значения. Таким образом, мошенники не могут перепроектировать информацию о кредитных картах, даже если бы они собирали токены с серверов компании. Токенизация повышает безопасность, потому что токены бесполезны для преступников, если система компании каким-либо образом будет взломана.

Токенизация может быть сделана на месте или на стороне.

Если все сделано собственными силами, продавцы должны перенести данные своих владельцев карт в среду, называемую хранилище токенов. Когда приходит время обрабатывать информацию, продавцы отправляют токен, представляющий данные карты, в хранилище токенов, чтобы извлечь PAN и направить его в сеть для авторизации. Эта схема уменьшает количество данных карты, плавающих вокруг систем торговцев, и, таким образом, возможность хакера отобрать их.

Аутсорсинг токенизации работает таким же образом, но удаляет данные карт из торговой среды - очень похоже на опустошение хранилища, так что вору нечего украсть. Торговцы используют только токен для получения, доступа или хранения информации о кредитных картах своих клиентов. Между тем данные карт их клиентов хранятся в надежном удаленном месте поставщиком с сертификацией PCI.

Будь то внутри компании или на стороне, токенизация не влияет на обработку платежей или каналы торговца. Точно так же, как и кредитные карты, токены можно использовать для продажи покупателям, возврата денег, аннулирования и получения кредитов - только они намного безопаснее. Привлекательность удаления конфиденциальных данных кредитных карт клиентов из внутренних сетей является одной из главных причин, по которой все больше и больше компаний обращаются к токенизации.

Кому это выгодно?

Компании, которые собирают и хранят данные кредитных карт, часто считают процесс PCI огромной головной болью с потенциально значительными обязательствами и расходами. Поскольку каждая точка, в которой обрабатываются данные кредитной карты, должна быть защищена, соответствие этим правилам, а также создание и защита собственной крепости данных может стать чрезвычайно трудным и дорогостоящим.

Поскольку аутсорсинг токенизации полностью удаляет данные карт из торговой среды, для преступников нет ничего полезного, а ответственность и затраты, которые торговцы часто связывают с соблюдением PCI, значительно сокращаются.

Многие продавцы считают, что аутсорсинг обходится дешевле, чем создание команды или отведение времени сотрудников на безопасность карт и соответствие PCI. Обычно аутсорсинговое решение будет составлять примерно одну треть стоимости собственного решения.

Кому это выгодно?