صرافی آنلاین رمزارز
صرافی کامکس٫ خریدوفروش ارزدیجیتال٫

عملیات توکنیزه کردن چیست و چگونه انجام می‌ شود؟ 

عملیات توکنیزه کردن فرآیند مبادله داده‌های حساس با داده‌های غیرحساس به نام «توکن» است که می‌تواند در پایگاه داده یا سیستم داخلی بدون وارد کردن آن به محدوده مورد استفاده قرار گیرد. اگرچه توکن‌ها مقادیر نامرتبط هستند، اما عناصر خاصی از داده‌های اصلی را حفظ می‌کنند – معمولاً طول یا قالب – بنابراین می‌توان از آن‌ها برای عملیات تجاری بدون وقفه استفاده کرد. سپس داده‌های حساس اصلی به طور ایمن در خارج از سیستم‌های داخلی سازمان ذخیره می‌شوند.

عملیات توکنیزه کردن

برخلاف داده‌های رمزگذاری شده، داده‌های رمزگذاری شده غیرقابل رمزگشایی و برگشت ناپذیر هستند. این تمایز بسیار مهم است: از آنجایی که هیچ رابطه ریاضی بین نشانه و شماره اصلی آن وجود ندارد، توکن‌ها را نمی‌توان بدون وجود داده‌های اضافی و جداگانه ذخیره شده به شکل اصلی خود بازگرداند. در نتیجه، نقض یک عملیات توکنیزه کردن، داده‌های حساس اصلی را به خطر نمی‌اندازد.

عملیات توکنیزه کردن

توکن چیست؟

همانطور که قبلاً توضیح داده شد، یک توکن قطعه‌ای از داده است که برای اطلاعات ارزشمندتر دیگری قرار می‌گیرد. توکن‌ها به خودی خود تقریباً هیچ ارزشی ندارند – آن‌ها فقط به این دلیل مفید هستند که نشان دهنده چیزی بزرگتر هستند، مانند شماره حساب اصلی کارت اعتباری (PAN) یا شماره تأمین اجتماعی (SSN). بازیکنان به جای پر کردن میز با پول نقد (که به راحتی گم یا دزدیده می‌شود)، از تراشه‌ها به‌عنوان جایگاه‌دار استفاده می‌کنند. با این حال، تراشه‌ها نمی‌توانند به عنوان پول استفاده شوند، حتی اگر به سرقت رفته باشند. آن‌ها ابتدا باید با ارزش نمایندگی خود مبادله شوند.

عملیات توکنیزه کردن با حذف داده‌های ارزشمند از محیط شما و جایگزینی آن با این توکن‌ها کار می‌کند. اکثر کسب و کار‌ها حداقل برخی از داده‌های حساس را در سیستم خود نگه می‌دارند، خواه داده‌های کارت اعتباری، اطلاعات پزشکی، شماره‌های تأمین اجتماعی یا هر چیز دیگری که نیاز به امنیت و محافظت دارد. با استفاده از توکن‌سازی، سازمان‌ها می‌توانند به استفاده از این داده‌ها برای مقاصد تجاری بدون متحمل شدن ریسک یا محدوده انطباق ذخیره داده‌های حساس در داخل ادامه دهند.

هدف از توکن‌سازی چیست؟

هدف از عملیات توکنیزه کردن محافظت از داده‌های حساس و در عین حال حفظ ابزار تجاری آن است. این با رمزگذاری متفاوت است، جایی که داده‌های حساس با روش‌هایی اصلاح و ذخیره می‌شوند که اجازه استفاده مداوم از آن را برای اهداف تجاری نمی‌دهد. اگر توکن‌سازی مانند یک تراشه پوکر است، رمزگذاری مانند یک جعبه قفل است. علاوه بر این، اعداد رمزگذاری شده را می‌توان با کلید مناسب رمزگشایی کرد. با این حال، توکن‌ها را نمی‌توان معکوس کرد، زیرا هیچ رابطه ریاضی قابل توجهی بین توکن و شماره اصلی آن وجود ندارد.

Detokenization چیست؟

عملیات Detokenization فرآیند معکوس است و رمز را با داده‌های اصلی مبادله می‌کند. دتوکن‌زدایی فقط توسط سیستم توکن‌سازی اصلی انجام می‌شود. هیچ راه دیگری برای به دست آوردن شماره اصلی فقط از توکن وجود ندارد. توکن‌ها می‌توانند یک‌بار مصرف (کم‌ارزش) برای عملیات‌هایی مانند تراکنش‌های کارت نقدی یک‌باره که نیازی به نگهداری ندارند، یا می‌توانند برای مواردی مانند شماره کارت اعتباری مشتری تکرار شونده (با ارزش بالا) باشند. که باید در یک پایگاه داده برای تراکنش‌های مکرر ذخیره شود.

Detokenization

فرآیند رمزگذاری چیست؟

رمزگذاری فرآیندی است که طی آن داده‌های حساس به صورت ریاضی تغییر می‌کنند، اما الگوی اصلی آن هنوز در کد جدید وجود دارد. این بدان معنی است که اعداد رمزگذاری شده را می‌توان با کلید مناسب، از طریق نیروی محاسباتی یا کلید هک/دزدیده شده، رمزگشایی کرد.

هدف توکن‌سازی چیست؟

هدف یک پلتفرم توکن‌سازی مؤثر حذف هرگونه پرداخت حساس یا داده‌های شخصی اصلی از سیستم‌های تجاری شما، جایگزینی هر مجموعه داده با یک رمز غیرقابل رمزگشایی و ذخیره داده‌های اصلی در یک محیط ابری امن، جدا از سیستم‌های تجاری شما است.
به عنوان مثال، توکن‌سازی در بانکداری از اطلاعات دارندگان کارت محافظت می‌کند. هنگامی که پرداختی را با استفاده از رمز ذخیره شده در سیستم‌های خود پردازش می‌کنید، فقط سیستم رمزگذاری کارت اعتباری اصلی می‌تواند رمز را با شماره حساب اصلی (PAN) مربوطه تعویض کرده و آن را برای مجوز به پردازشگر پرداخت ارسال کند. سیستم‌های شما هرگز PAN را ضبط، انتقال یا ذخیره نمی‌کنند – فقط توکن.

اگرچه هیچ فناوری نمی‌تواند جلوگیری از نقض داده‌ها را تضمین کند، یک پلتفرم توکن‌سازی ابری که به درستی ساخته و اجرا شده باشد می‌تواند از قرار گرفتن در معرض داده‌های حساس جلوگیری کند و کاربران را از گرفتن هر نوع اطلاعات قابل استفاده – مالی یا شخصی – باز دارد.

Tokenization یا عملیات توکنیزه کردن یک سیستم امنیتی نیست که مانع از نفوذ هکر‌ها به شبکه‌ها و سیستم‌های اطلاعاتی شما شود. بسیاری از فناوری‌های امنیتی دیگر نیز برای این منظور طراحی شده‌اند. بلکه نشان دهنده یک رویکرد داده محور به امنیت است که به اصول \”اعتماد صفر\” پایبند است.

با این حال، هیچ دفاعی غیرقابل نفوذ بودن را ثابت نکرده است. مجرمان سایبری چه از طریق خطای انسانی، بدافزار، ‌ایمیل‌های فیشینگ یا زور بی‌رحمانه، راه‌های زیادی برای شکار سازمان‌های آسیب‌پذیر دارند. در بسیاری از موارد، مهم این است که چه زمانی – نه اگر – یک حمله موفق شود. مزیت توکن‌سازی ابری این است که هیچ اطلاعاتی برای سرقت در صورت وقوع رخنه اجتناب ناپذیر وجود ندارد. به همین دلیل، عملاً خطر سرقت اطلاعات را از بین می‌برد.

چه اطلاعاتی باید توکنیزه شوند؟

رمزگذاری اغلب برای محافظت از شماره کارت اعتباری استفاده می‌شود و توسط شورای صنعت کارت پرداخت (PCI) مورد نیاز است. با این حال، موارد استفاده زیادی وجود دارد که توکن‌سازی می‌تواند به سازمان کمک کند تا داده‌های حساس را به صورت ایمن ذخیره کند. هر دو HIPPA و مقررات حفاظت از داده‌های عمومی (GDPR) نیاز به رسیدگی ویژه، ناشناس‌سازی و ذخیره ایمن اطلاعات قابل شناسایی شخصی دارند. یک سازمان باید هر زمانی که نیاز‌های تجاری آن‌ها نیاز به ذخیره اطلاعات حساس دارد، از عملیات توکنیزه کردن استفاده کند، یعنی:

  • شماره تأمین اجتماعی
  • شماره حساب‌های بانکی
  • شماره پاسپورت
  • شماره گواهینامه رانندگی
  • شماره کارت اعتباری
  • آدرس‌ها
  • تلفن
  • تاریخ تولد
  • جنسیت یا نژاد

توکنیزاسیون خدمات پرداخت

استراتژی دیگر برای توکن‌سازی، مدل خدمات پرداخت است. این مدل یک API واحد ارائه می‌کند که پس از یکپارچه‌سازی، می‌تواند پرداخت‌ها را به چندین دروازه هدایت کند. مدل خدمات پرداخت برای شرکت‌هایی که نیاز‌های پرداخت پیچیده‌تری دارند، بهترین کار را دارد. اگر شرکت شما نیاز به پرداخت در چندین منطقه یا ارز یا در برابر چندین پردازنده و دروازه دارد، این مدل به خوبی کار می‌کند. نقطه ضعف مدل خدمات پرداخت این است که کد یکپارچه‌سازی دروازه موجود قابل استفاده مجدد نیست. با این حال، بازده اغلب ارزش آن را دارد.

توکنیزاسیون خدمات پرداخت

علاوه بر کاهش دامنه PCI و افزایش امنیت، مدل توکن‌سازی خدمات پرداخت دارای مزایای منحصر به فردی است. نه تنها می‌تواند کد یکپارچه‌سازی شما را ساده کند، بلکه مدل خدمات پرداخت همچنین مانع از کنترل درگاه‌های پرداخت توکن‌های شما می‌شود. برخلاف توکن‌سازی دروازه، توکن ارائه شده توسط یک شرکت شخص ثالث می‌تواند در هر دروازه پشتیبانی شده استفاده شود. در مقابل، توکن‌های ارائه شده توسط درگاه‌های پرداخت نمی‌توانند در برابر دروازه‌های جایگزین رقیب استفاده شوند.

نتیجه

امنیت و انطباق به تنهایی دلیل کافی برای اجرای عملیات توکنیزه کردن، هستند. حقیقت این است که تحمل الزامات امنیتی پرداخت‌های آنلاین به تنهایی دشوار است. استارت‌آپ‌ها اغلب تصمیم می‌گیرند که امنیت را فدای زمان برای بازار کنند. استفاده از متخصصان در زمینه امنیت و توکنیزاسیون باعث صرفه‌جویی در زمان و هزینه شرکت شما در طولانی مدت می‌شود.

منابع:

ممکن است شما دوست داشته باشید