توکنیزه کردن (Tokenize) چیست؟ آشنایی با مزایای توکنیزاسیون
خیر. تبدیل اطلاعات به توکن به صورت یکطرفه انجام میشود و قابلیت برگشت ندارد. این توکنها با استفاده از الگوریتمهای رمزنگاری تولید میشوند و مهندسی معکوس آنها و دسترسی به اطلاعات اصلی غیرممکن است.
۴. توکنیزه کردن چطور به پیروی از قوانین محافظت از اطلاعات کمک میکند؟
توکنیزه کردن با کاهش دریافت اطلاعات حساس، ریسک نشت اطلاعات را کاهش داده و به همین دلیل به راحتی میتوان از قوانین استاندارد امنیت اطلاعات صنعت کارتهای پرداخت (PCI DSS) پیروی کرد.
در این سناریو سرویسدهنده یک ابزار برای سیستم پوز فروشنده صادر میکند که شماره کارت اعتباری را به توکنهای تصادفی تبدیل میکند. از آنجایی که این توکنها شماره کارت اصلی نیستند نمیتوان از آن به جز در همان تراکنش و با همان فروشنده، استفاده کرد چون اطلاعات شما فقط برای این تراکنش و این فروشگاه توکنیزه شده است.
برای مطابقت با قانون PCI، فروشندگان باید یا سیستم گرانقیمت رمزگذاری پایانه به پایانه را نصب کنند یا پردازش پرداخت را به یک سرویسدهنده ثالث که خدمات توکنیزاسیون هم ارائه میدهد، برونسپاری کنند. سرویسدهنده صدور توکن را برعهده گرفته و مسئولیت محافظت از اطلاعات صاحب کارت را قبول میکند.
توکنیزاسیون دیحیتال و رمزگذاری دو روش رمزنگاری متفاوت هستند که از آنها برای حفظ امنیت دادهها استفاده میشود. تفاوت اصلی بین این دو روش در این است که در توکنیزه کردن طول و نوع داده تغییری نمیکند اما در رمزگذاری هم طول و هم نوع داده عوض میشود. این باعث میشود که داده رمزگذاری شده برای همه به جز فردی که کلید رمزگشایی آن را داشته باشد، غیر قابل خواندن شود. در توکنیزاسیون از کلید به این صورت استفاده نمیشود بلکه از اطلاعات غیرقابل رمزگشایی برای نشان دادن دادههای مهم کمک میگیرد. در روش رمزگذاری، دادهها با استفاده از کلید قابل رمزگشایی هستند.
این روش باعث میشود اطلاعات واقعی صاحبان کارتها در معرض دید و دسترسی قرار نداشته باشد و افراد غیرمجاز نتوانند از این اطلاعات سوءاستفاده کنند.
۳. آیا میتوان با مهندسی معکوس توکنها به اطلاعات اصلی دست پیدا کرد؟
توکنها به روشهای زیر ایجاد میشوند:
استفاده از تابع برگشتپذیر رمزنگاری شده و یک کلید
استفاده از تابع غیربرگشتپذیر مانند تابع هش
استفاده از تابع ایندکس یا اعداد تصادفی
توکنیزاسیون دیجیتال از ابتدای دهه ۱۹۷۰ برای جداسازی بعضی از دادههای حساس از سایر دادههای ذخیره شده در پایگاههای دادهای که در آن زمان وجود داشت، مورد استفاده قرار گرفت. بعدها استفاده از این روش وارد صنعت کارتهای پرداخت شد تا از طریق آن، از دادههای حساس صاحبان کارتها محافظت شده و استانداردهای امنیتی این صنعت هم حفظ شود. شرکت TrustCommerce برای اولین بار در سال ۲۰۰۱ ایده توکنیزاسیون را برای محافظت از اطلاعات کارتهای پرداخت، اجرایی کرد.
انواع توکن
در مدلهای اقتصادی سنتی و متمرکز، موسسات مالی بزرگ و بانکها مسئول تضمین صحت و یکپارچگی دفترکل تراکنشها هستند. در اقتصاد مبتنی بر بلاکچین یا اقتصاد توکنی، این مسئولیت و قدرت به افراد سپرده شده است چون صحت تراکنشها با استفاده از رمزنگاری در سطح فرد به فرد انجام میشود.
روشهای مختلفی برای دستهبندی توکنها وجود دارد. تفاوت سه نوع اصلی توکن که توسط کمیسیون بورس و اوراق بهادار آمریکا تعریف شدهاند بر اساس رابطه آنها با داراییهای واقعی است. این توکنها شامل موارد زیر هستند:
توکن اوراق بهادار: با سرمایهگذاری روی این توکنها میتوانید سود مثبت به دست آورید. توکنهای اوراق بهادار از لحاظ اقتصادی مشابه با اوراق قرضه و سهام هستند.
توکن کاربردی: این توکنها به این دلیل ایجاد شدهاند تا کاربردی بیش از روش پرداخت داشته باشند. مثلا، یک توکن کاربردی میتواند دسترسی مستقیم به یک محصول یا پلتفرم را فراهم کرده یا مشتری با استفاده از آن برای خرید کالا و خدمات جدید در یک پلتفرم، تخفیف دریافت کند. توکن کاربردی برای کاربردهای یک محصول یا خدمات، ارزش افزوده ایجاد میکند.
توکن ارزی/پرداخت: این توکنها منحصرا به عنوان روش پرداخت هزینه کالا و خدمات ایجاد شدهاند.
در فرآیند توکنیزاسیون، اطلاعات حساس با اطلاعات غیرمهم جایگزین شده و اطلاعات حساس در جای امنی به نام گاوصندوق توکن، نگهداری میشوند.
۲. مزیت توکنیزه کردن اطلاعات پرداخت چیست؟
در صنعت پرداخت، یک تفاوت مهم هم بین توکنهای پرارزش و کمارزش وجود دارد. توکنهای پرارزش به عنوان یک جایگزین برای شماره حساب اصلی یا PAN در تراکنش عمل کرده و میتوانند تراکنش را کامل کنند. توکنهای کمارزش (LVT) هم به عنوان جایگزینی برای شماره حساب اصلی عمل میکنند اما نمیتوانند تراکنش را کامل کنند بلکه این کار باید با استفاده از PAN واقعی انجام شود.
تفاوت توکنیزاسیون و رمزگذاری
رمزگذاری تا مدتهای زیادی روش محبوب برای حفظ امنیت دادهها بود. اما در سالهای گذشته روش مقرون به صرفه و امن توکنیزاسیون، جایگزین رمزگذاری شده است. البته گاهی از رمزگذاری و توکنیزاسیون به صورت همزمان استفاده میشود.
توکنیزاسیون و بلاکچین
از سوی دیگر، بعضی از توکنیزه کردنها بدون گاوصندوق انجام میشوند. در این صورت، به جای نگهداری از اطلاعات حساس در یک پایگاه داده امن، از توکنها با یک الگوریتم محافظت میشود.
توکنیزه کردن و PCI DSS
مواردی که اطلاعات محرمانه کارتهای اعتباری را به توکن تبدیل میکنند شامل سه دسته زیر هستند:
کیفهای پول موبایلی مانند Google Pay و Apple Pay
سایتهای فروشگاهی
کسبوکارهایی که اطلاعات کارتهای مشتریان را بایگانی میکنند
نحوه کار توکنیزاسیون
علت امکانپذیر بودن این روش در این است که توکنهای ارز دیجیتال در سراسر بلاکچین به یکدیگر متصل هستند و بلاکچین سوابق غیر قابل تغییر و زماندار از تراکنشها را ثبت میکند. برای اینکه یک مجموعه جدید از تراکنشها یا بلاکها به بلاکچین اضافه شود، باید سایر کاربران آن را تایید کنند.
سخن پایانی
استانداردها و قوانین صنعت کارتهای پرداخت (PCI) به فروشندگان اجازه ذخیره شماره کارت اعتباری خریداران را روی پایانههای پوز یا پایگاههای داده نمیدهند.
توکنیزه کردن از همان آغاز سیستم های ارزی اولیه وجود داشت که توکن سکهها به جای سکههای واقعی و حوالههای بانکی مورد استفاده قرار میگرفت. توکنهای مترو و توکنهای کازینو نمونههایی از این توکنها هستند چون به عنوان جایگزین پول واقعی عمل میکنند. این روش فیزیکی توکنیزاسیون است اما عملکرد و مفهوم آن دقیقا مانند توکنیزه کردن دیجیتال است: یعنی استفاده از یک جایگزین کمارزش برای یک دارایی ارزشمند.
در نتیجه توکن به اطلاعات قابل مشاهده تبدیل شده و اطلاعات حساسی که توکنیزه شدهاند، به صورت کاملا امن در یک سرور متمرکز که با نام «گاوصندوق توکن» شناخته میشود، نگهداری میشوند. گاوصندوق توکن تنها جایی است که میتوان اطلاعات اصلی هر توکن را مشاهده و پیدا کرد.
توکنیزه کردن فرآیندی است که طی آن، دادههای حساس به نمادهای خاص و یکتایی تبدیل میشوند و هر توکن نماینده یک داده است. این نمادها امنیت دادهها را حفظ کرده و حاوی تمام اطلاعات ضروری آنها هستند. هدف از توکنیزاسیون کاهش اندازه دادههای حساسی است که یک کسبوکار نیاز به دسترسی به آنها دارد. کسبوکارهای کوچک و متوسط از این روش محبوب برای تقویت امنیت تراکنشهای انجامشده با کارتهای اعتباری و فروشگاههای آنلاین و همچنین به حداقل رساندن هزینه و پیچیدگیهای قانونی، استفاده میکنند.
نمونه هایی از توکنیزه کردن
همانطور که بالاتر هم گفته شد، در طی فرآیند توکنیزه کردن، اطلاعات حساس و مهم با اطلاعات غیرحساس معادل خود، جایگزین میشوند. به این اطلاعات غیرحساس، توکن گفته میشود.
از لحاظ تئوری، توکنیزاسیون میتواند برای انواع دادههای حساس شامل تراکنشهای بانکی، سوابق پزشکی، سوابق کیفری، اطلاعات رانندگان وسایل نقلیه، درخواست وام، معاملات سهام و ثبت نام رایدهندگان، مورد استفاده قرار بگیرد. معمولا هر سیستمی که در آن، اطلاعات غیرحساس بهعنوان یک جایگزین برای اطلاعات حساس به کار برده شود، میتواند فرآیند توکنیزه کردن را پیادهسازی کند.
برای درک بهتر، یک نمونه واقعی از نحوه کار توکنیزاسیون با گاوصندوق توکن در ادامه آورده شده است:
مشتری اطلاعات پرداخت خود را در سیستم پوز یا فرم پرداخت آنلاین، وارد میکند.
این اطلاعات با یک توکن تصادفی که معمولا توسط درگاه پرداخت فروشنده تولید میشوند، جایگزین خواهند شد.
سپس اطلاعات توکنیزهشده رمزنگاری شده و برای پردازشگر پرداخت ارسال میشوند. اطلاعات حساس اصلی در گاوصندوق توکن در درگاه پرداخت فروشنده، نگهداری خواهند شد. فقط در این قسمت است که امکان مشاهده اطلاعات اصلی هر توکن وجود دارد
اطلاعات توکنیزهشده دوباره قبل از اینکه برای تایید نهایی ارسال شوند، توسط پردازشگر پرداخت رمزنگاری میشوند.
در فضای تامین امنیت اطلاعات پرداخت، توکنیزه کردن به عنوان روشی قدرتمند برای محافظت از اطلاعات مالی حساس عمل میکند. در این فرآیند از طریق جایگزین کردن اطلاعات پرداخت با توکنهای اختصاصی، امن بودن اطلاعات محرمانه از دسترسی هکرها در حین تراکنش و در زمان ذخیره اطلاعات، تضمین میشود. توکنیزاسیون نه تنها امنیت کسبوکارها و مشتریان را به یک اندازه بهبود میبخشد، بلکه بار پیروی از استانداردهای حفاظت از اطلاعات حساس را هم از دوش کسبوکارها برمیدارد.
۱. نقش توکنیزه کردن در حفظ امنیت اطلاعات چیست؟
توکنیزه کردن در حوزه بلاکچین به انتشار توکن اختصاصی یک بلاکچین که با نام توکن اوراق بهادار هم شناخته میشود، اشاره دارد. توکنهای بلاکچینی درواقع نسخه دیجیتال از داراییهای واقعی هستند. وقتی داراییهای واقعی توکنیزه شوند، تبدیل به ارز دیجیتال میشوند.
مثلا در تراکنشی که با کارت اعتباری انجام میشود، توکن معمولا فقط حاوی ۴ رقم آخر شماره کارت اصلی است. بقیه توکن شامل کاراکترهایی از حروف و عدد است که اطلاعات صاحب کارت و دادههای مربوط به تراکنش جاری را نشان میدهد.
مزایای توکنیزه کردن
توکنیزاسیون دسترسی هکرها به اطلاعات صاحبان کارتها را بسیار دشوار میسازد و در مقایسه با سیستمهای قدیمی که در آن، شماره کارتهای اعتباری در پایگاههای داده نگهداری و به راحتی از طریق اینترنت، رد و بدل میشد، امنیت بسیار بیشتری دارد. اصلیترین مزایای توکنیزه کردن شامل موارد زیر است:
سازگاری بالاتر با سیستمهای قدیمی نسبت به روش رمزگذاری
مقرون به صرفهتر بودن نسبت به روش رمزگذاری
کاهش ریسک نشت اطلاعات
راحتتر شدن فرآیند پرداخت با استفاده از فناوریهای جدید مانند کیف پول موبایلی، پرداخت با یک کلیک و ارز دیجیتال. در نتیجه، افزایش اعتماد مشتری به دلیل افزایش امنیت و راحتی در خدمات فروشنده