توکنیزه کردن (Tokenize) چیست؟ آشنایی با مزایای توکنیزاسیون

همان‌طور که بالاتر هم گفته شد، در طی فرآیند توکنیزه کردن، اطلاعات حساس و مهم با اطلاعات غیرحساس معادل خود، جایگزین می‌شوند. به این اطلاعات غیرحساس، توکن گفته می‌شود.

رمزگذاری تا مدت‌های زیادی روش محبوب برای حفظ امنیت داده‌ها بود. اما در سال‌های گذشته روش مقرون‌ به صرفه و امن توکنیزاسیون، جایگزین رمزگذاری شده است. البته گاهی از رمزگذاری و توکنیزاسیون به صورت هم‌زمان استفاده می‌شود.

توکنیزاسیون و بلاکچین

از سوی دیگر، بعضی از توکنیزه کردن‌ها بدون گاوصندوق انجام می‌شوند. در این صورت، به جای نگه‌داری از اطلاعات حساس در یک پایگاه داده امن، از توکن‌ها با یک الگوریتم محافظت می‌شود.

توکنیزه کردن و PCI DSS

توکنیزه کردن فرآیندی است که طی آن، داده‌های حساس به نماد‌های خاص و یکتایی تبدیل می‌شوند و هر توکن نماینده یک داده است. این نمادها امنیت داده‌ها را حفظ کرده و حاوی تمام اطلاعات ضروری آن‌ها هستند. هدف از توکنیزاسیون کاهش اندازه داده‌های حساسی است که یک کسب‌وکار نیاز به دسترسی به آن‌ها دارد. کسب‌وکارهای کوچک و متوسط از این روش محبوب برای تقویت امنیت تراکنش‌های انجام‌شده با کارت‌های اعتباری و فروشگاه‌های آنلاین و همچنین به حداقل رساندن هزینه و پیچیدگی‌های قانونی، استفاده می‌کنند.

نمونه هایی از توکنیزه کردن

توکن‌ها به روش‌های زیر ایجاد می‌شوند:

  • استفاده از تابع برگشت‌پذیر رمزنگاری شده و یک کلید
  • استفاده از تابع غیربرگشت‌پذیر مانند تابع هش
  • استفاده از تابع ایندکس یا اعداد تصادفی

در صنعت پرداخت، یک تفاوت مهم هم بین توکن‌های پرارزش و کم‌ارزش وجود دارد. توکن‌های پرارزش به عنوان یک جایگزین برای شماره حساب اصلی یا PAN در تراکنش عمل کرده و می‌توانند تراکنش را کامل کنند. توکن‌های کم‌ارزش (LVT) هم به عنوان جایگزینی برای شماره حساب اصلی عمل می‌کنند اما نمی‌توانند تراکنش را کامل کنند بلکه این کار باید با استفاده از PAN واقعی انجام شود.

تفاوت توکنیزاسیون و رمزگذاری

روش‌های مختلفی برای دسته‌بندی توکن‌ها وجود دارد. تفاوت سه نوع اصلی توکن که توسط کمیسیون بورس و اوراق بهادار آمریکا تعریف شده‌اند بر اساس رابطه‌ آنها با دارایی‌های واقعی است. این توکن‌ها شامل موارد زیر هستند:

  • توکن اوراق بهادار: با سرمایه‌گذاری روی این توکن‌ها می‌توانید سود مثبت به دست آورید. توکن‌های اوراق بهادار از لحاظ اقتصادی مشابه با اوراق قرضه و سهام هستند.
  • توکن کاربردی: این توکن‌ها به این دلیل ایجاد شده‌اند تا کاربردی بیش از روش پرداخت داشته باشند. مثلا، یک توکن کاربردی می‌تواند دسترسی مستقیم به یک محصول یا پلتفرم را فراهم کرده یا مشتری با استفاده از آن برای خرید کالا و خدمات جدید در یک پلتفرم، تخفیف دریافت کند. توکن کاربردی برای کاربردهای یک محصول یا خدمات، ارزش افزوده ایجاد می‌کند.
  • توکن ارزی/پرداخت: این توکن‌ها منحصرا به عنوان روش پرداخت هزینه کالا و خدمات ایجاد شده‌اند.

مثلا در تراکنشی که با کارت اعتباری انجام می‌شود، توکن معمولا فقط حاوی ۴ رقم آخر شماره کارت اصلی است. بقیه توکن شامل کاراکترهایی از حروف و عدد است که اطلاعات صاحب کارت و داده‌های مربوط به تراکنش جاری را نشان می‌دهد.

مزایای توکنیزه کردن

توکنیزه کردن با کاهش دریافت اطلاعات حساس، ریسک نشت اطلاعات را کاهش داده و به همین دلیل به راحتی می‌توان از قوانین استاندارد امنیت اطلاعات صنعت کارت‌های پرداخت (PCI DSS) پیروی کرد.


منبع: https://iranbroker.net/what-is-tokenization-and-its-advantages/

مواردی که اطلاعات محرمانه کارت‌های اعتباری را به توکن تبدیل می‌کنند شامل سه دسته زیر هستند:

نحوه کار توکنیزاسیون

در این سناریو سرویس‌دهنده یک ابزار برای سیستم پوز فروشنده صادر می‌کند که شماره کارت‌ اعتباری را به توکن‌های تصادفی تبدیل می‌کند. از آن‌جایی که این توکن‌ها شماره کارت اصلی نیستند نمی‌توان از آن به جز در همان تراکنش و با همان فروشنده، استفاده کرد چون اطلاعات شما فقط برای این تراکنش و این فروشگاه توکنیزه شده است.

برای مطابقت با قانون PCI، فروشندگان باید یا سیستم گران‌قیمت رمزگذاری پایانه به پایانه را نصب کنند یا پردازش پرداخت را به یک سرویس‌دهنده ثالث که خدمات توکنیزاسیون هم ارائه می‌دهد، برون‌سپاری کنند. سرویس‌دهنده صدور توکن را برعهده گرفته و مسئولیت محافظت از اطلاعات صاحب کارت را قبول می‌کند.

خیر. تبدیل اطلاعات به توکن به صورت یک‌طرفه انجام می‌شود و قابلیت برگشت ندارد. این توکن‌ها با استفاده از الگوریتم‌های رمزنگاری تولید می‌شوند و مهندسی معکوس آنها و دسترسی به اطلاعات اصلی غیرممکن است.

۴. توکنیزه کردن چطور به پیروی از قوانین محافظت از اطلاعات کمک می‌کند؟

توکنیزه کردن از همان آغاز سیستم های ارزی اولیه وجود داشت که توکن سکه‌ها به جای سکه‌های واقعی و حواله‌های بانکی مورد استفاده قرار می‌گرفت. توکن‌های مترو و توکن‌های کازینو نمونه‌هایی از این توکن‌ها هستند چون به عنوان جایگزین پول واقعی عمل می‌کنند. این روش فیزیکی توکنیزاسیون است اما عملکرد و مفهوم آن دقیقا مانند توکنیزه کردن دیجیتال است: یعنی استفاده از یک جایگزین کم‌ارزش برای یک دارایی ارزشمند.

تاریخچه توکنیزاسیون

در مدل‌های اقتصادی سنتی و متمرکز، موسسات مالی بزرگ و بانک‌ها مسئول تضمین صحت و یکپارچگی دفترکل تراکنش‌ها هستند. در اقتصاد مبتنی بر بلاکچین یا اقتصاد توکنی، این مسئولیت و قدرت به افراد سپرده شده است چون صحت تراکنش‌ها با استفاده از رمزنگاری در سطح فرد به فرد انجام می‌شود.

برای درک بهتر، یک نمونه واقعی از نحوه کار توکنیزاسیون با گاوصندوق توکن در ادامه آورده شده است:

توکنیزاسیون دیحیتال و رمزگذاری دو روش رمزنگاری متفاوت هستند که از آن‌ها برای حفظ امنیت داده‌ها استفاده می‌شود. تفاوت اصلی بین این دو روش در این است که در توکنیزه کردن طول و نوع داده تغییری نمی‌کند اما در رمزگذاری هم طول و هم نوع داده عوض می‌شود. این باعث می‌شود که داده رمزگذاری شده برای همه به جز فردی که کلید رمزگشایی آن را داشته باشد، غیر قابل خواندن شود. در توکنیزاسیون از کلید به این صورت استفاده نمی‌شود بلکه از اطلاعات غیرقابل رمزگشایی برای نشان دادن داده‌های مهم کمک می‌گیرد. در روش رمزگذاری، داده‌ها با استفاده از کلید قابل رمزگشایی هستند.

تفاوت توکنیزه کرده و رمزگذاری

توکنیزاسیون دیجیتال از ابتدای دهه ۱۹۷۰ برای جداسازی بعضی از داده‌های حساس از سایر داده‌های ذخیره شده در پایگاه‌های داده‌ای که در آن زمان وجود داشت، مورد استفاده قرار گرفت. بعدها استفاده از این روش وارد صنعت کارت‌های پرداخت شد تا از طریق آن، از داده‌های حساس صاحبان کارت‌ها محافظت شده و استانداردهای امنیتی این صنعت هم حفظ شود. شرکت TrustCommerce برای اولین بار در سال ۲۰۰۱ ایده توکنیزاسیون را برای محافظت از اطلاعات کارت‌های پرداخت، اجرایی کرد.

انواع توکن

علت امکان‌پذیر بودن این روش در این است که توکن‌های ارز دیجیتال در سراسر بلاکچین به یکدیگر متصل هستند و بلاکچین سوابق غیر قابل تغییر و زمان‌دار از تراکنش‌ها را ثبت می‌کند. برای این‌که یک مجموعه جدید از تراکنش‌ها یا بلاک‌‌ها به بلاکچین اضافه شود، باید سایر کاربران آن را تایید کنند.

سخن پایانی

در فضای تامین امنیت اطلاعات پرداخت، توکنیزه کردن به عنوان روشی قدرتمند برای محافظت از اطلاعات مالی حساس عمل می‌کند. در این فرآیند از طریق جایگزین کردن اطلاعات پرداخت با توکن‌های اختصاصی، امن بودن اطلاعات محرمانه از دسترسی هکرها در حین تراکنش و در زمان ذخیره اطلاعات، تضمین می‌شود. توکنیزاسیون نه تنها امنیت کسب‌و‌کارها و مشتریان را به یک اندازه بهبود می‌بخشد، بلکه بار پیروی از استانداردهای حفاظت از اطلاعات حساس را هم از دوش کسب‌وکارها برمی‌دارد.

۱. نقش توکنیزه کردن در حفظ امنیت اطلاعات چیست؟

در نتیجه توکن به اطلاعات قابل مشاهده تبدیل شده و اطلاعات حساسی که توکنیزه شده‌اند، به صورت کاملا امن در یک سرور متمرکز که با نام «گاوصندوق توکن» شناخته می‌شود، نگه‌داری می‌شوند. گاوصندوق توکن تنها جایی است که می‌توان اطلاعات اصلی هر توکن را مشاهده و پیدا کرد.

استفاده از توکنیزاسیون در پرداخت

استانداردها و قوانین صنعت کارت‌های پرداخت (PCI) به فروشندگان اجازه ذخیره شماره کارت اعتباری خریداران را روی پایانه‌های پوز یا پایگاه‌های داده نمی‌دهند.

از لحاظ تئوری، توکنیزاسیون می‌تواند برای انواع داده‌های حساس شامل تراکنش‌های بانکی، سوابق پزشکی، سوابق کیفری، اطلاعات رانندگان وسایل نقلیه، درخواست وام، معاملات سهام و ثبت نام رای‌دهندگان، مورد استفاده قرار بگیرد. معمولا هر سیستمی که در آن، اطلاعات غیرحساس به‌عنوان یک جایگزین برای اطلاعات حساس به کار برده شود، می‌تواند فرآیند توکنیزه کردن را پیاده‌سازی کند.

توکنیزه کردن در حوزه بلاکچین به انتشار توکن اختصاصی یک بلاکچین که با نام توکن اوراق بهادار هم شناخته می‌شود، اشاره دارد. توکن‌های بلاکچینی درواقع نسخه دیجیتال از دارایی‌های واقعی هستند. وقتی دارایی‌های واقعی توکنیزه شوند، تبدیل به ارز دیجیتال می‌شوند.

توکنیزاسیون دسترسی هکرها به اطلاعات صاحبان کارت‌ها را بسیار دشوار می‌سازد و در مقایسه با سیستم‌های قدیمی که در آن، شماره کارت‌های اعتباری در پایگاه‌های داده نگه‌داری و به راحتی از طریق اینترنت، رد و بدل می‌شد، امنیت بسیار بیشتری دارد. اصلی‌ترین مزایای توکنیزه کردن شامل موارد زیر است:

  • سازگاری بالاتر با سیستم‌های قدیمی نسبت به روش رمزگذاری
  • مقرون به صرفه‌تر بودن نسبت به روش رمزگذاری
  • کاهش ریسک نشت اطلاعات
  • راحت‌تر شدن فر‌آیند پرداخت با استفاده از فناوری‌های جدید مانند کیف پول موبایلی، پرداخت با یک کلیک و ارز دیجیتال. در نتیجه، افزایش اعتماد مشتری به دلیل افزایش امنیت و راحتی در خدمات فروشنده
  • کاهش مراحل مربوط به رعایت قوانین PCI برای فروشنده

تاریخچه توکنیزاسیون

این روش باعث می‌شود اطلاعات واقعی صاحبان کارت‌ها در معرض دید و دسترسی قرار نداشته باشد و افراد غیرمجاز نتوانند از این اطلاعات سوءاستفاده کنند.

۳. آیا می‌توان با مهندسی معکوس توکن‌ها به اطلاعات اصلی دست پیدا کرد؟

در فرآیند توکنیزاسیون، اطلاعات حساس با اطلاعات غیرمهم جایگزین شده و اطلاعات حساس در جای امنی به نام گاوصندوق توکن، نگه‌داری می‌شوند.