توکنیزاسیون یا توکن سازی (Tokenization) چیست؟

توکن سازی فرآیند تبدیل داده های حساس به داده های غیر حساس به نام "توکن" است که می تواند در پایگاه داده یا سیستم داخلی بدون وارد شدن به دامنه مورد استفاده قرار گیرد. توکن می تواند برای ایمن سازی داده های حساس با جایگزینی داده های اصلی با مقدار غیر مرتبط با طول و قالب یکسان استفاده شود. سپس توکن ها برای استفاده به سیستم های داخلی سازمان ارسال می شوند و داده های اصلی در یک صندوق توکن امن ذخیره می شوند.

برخلاف داده های رمزگذاری شده داده های توکنیزه شده غیر قابل رمزگشایی و برگشت ناپذیر هستند. این تمایز از اهمیت ویژه ای برخوردار است از آنجا که هیچ رابطه ریاضی بین توکن و عدد اصلی آن وجود ندارد و توکن ها نمی توانند به شکل اصلی خود بازگردانده شوند.

توکن چیست؟

توکن به سادگی یک قطعه داده است که به جای اطلاعات ارزشمندتر دیگر است. توکن ها به تنهایی هیچ ارزشی ندارند آنها فقط مفید هستند زیرا نمایانگر ارزشی بزرگتر هستند. یک قیاس خوب یک تراشه پوکر است: بازیکنان به جای اینکه میز را با مقدار زیادی پول نقد پر کنند (که به راحتی از دست می رود یا به سرقت برود) از تراشه ها به عنوان متغیرهایی استفاده می کنند. تراشه ها را نمی توان به عنوان پول استفاده کرد. آنها باید بعد از بازی با پول تعویض شوند.

توکن سازی با حذف داده های ارزشمند از محیط شما و جایگزینی آنها با این توکن ها کار می کند. اکثر مشاغل حداقل برخی از اطلاعات حساس را در سیستم خود نگهداری می کنند خواه اطلاعات کارت اعتباری، اطلاعات پزشکی، شماره های امنیت اجتماعی یا هر چیز دیگری که نیاز به امنیت و حفاظت دارد. با استفاده از توکن این داده ها به طور کامل از محیط شما خارج شده و سپس با توکن هایی که مختص هر قطعه از اطلاعات است جایگزین می شوند.

هدف از توکن سازی چیست؟

هدف از توکن سازی این است که داده های حساس که معمولاً شماره کارت های پرداخت یا شماره حساب های بانکی هستند را با یک شماره تصادفی در همان قالب اما بدون ارزش ذاتی خود معامله کند. توکن سازی با رمزگذاری متفاوت است. جایی که عددی از نظر ریاضی تغییر می کند اما الگوی اصلی آن هنوز در کد جدید که به عنوان رمزگذاری برای حفظ قالب شناخته شده و ذخیره می شود.

توکن سازی فرآیند حذف داده های حساس از سیستم های معاملاتی شما به وسیله جایگزینی آن با یک توکن غیرقابل رمزگذاری و ذخیره داده های اصلی در یک مخزن امن داده ابری است. اعداد رمزگذاری شده را می توان با کلید مناسب رمزگشایی کرد. با این حال توکن ها قابل برگشت نیستند زیرا هیچ رابطه ریاضی بین توکن و عدد اصلی آن وجود ندارد.

توکن سازی چیست؟

توکن سازی یک روند معکوس است و توکن را با شماره اصلی معامله می کند. توکن سازی تنها توسط سیستم توکن اولیه امکان پذیر است. هیچ راه دیگری برای به دست آوردن شماره اصلی فقط از توکن وجود ندارد.

توکن ها می توانند یکبار مصرف (کم ارزش) برای عملیاتی مانند تراکنش های کارت بانکی یک بار مصرف که نیازی به حفظ آنها نیست یا می توانند برای مواردی مانند شماره کارت اعتباری مشتری تکراری (با ارزش بالا) باشند. که برای معاملات مکرر باید در پایگاه داده ذخیره شود.

اگر نقضی در محیط توکن سازی شده رخ دهد داده های در معرض دید مجرمان سایبری بی ارزش است و عملاً خطر سرقت اطلاعات را از بین می برد.

فرآیند رمزنگاری یا Encryption چیست؟

رمزنگاری فرآیندی است که طی آن داده های حساس از نظر ریاضی تغییر می کنند اما الگوی اصلی آن هنوز در کد جدید وجود دارد. این بدان معناست که اعداد رمزنگاری شده را می توان با کلید مناسب از طریق نیروی محاسباتی بی رحمانه یا کلید هک شده و یا سرقت شده رمزگشایی کرد.

هدف از توکن سازی چیست؟

هدف یک پلتفرم توکن این است که هرگونه پرداخت حساس اصلی یا اطلاعات شخصی را از سیستم های معاملاتی خود حذف کنید. هر مجموعه داده را با یک توکن غیر قابل رمزنگاری جایگزین کنید و داده های اصلی را در یک محیط امن ابری جدا از سیستم های معاملاتی خود ذخیره کنید.

به عنوان مثال ، توکن سازی در بانک از اطلاعات صاحبان کارت محافظت می کند. وقتی پرداختی را با استفاده از توکن ذخیره شده در سیستم های خود پردازش می کنید فقط سیستم رمزگذاری کارت اعتباری اصلی می تواند توکن را با شماره حساب اصلی مربوطه (PAN) عوض کرده و برای مجوز به پردازنده پرداخت ارسال کند. سیستم های شما هرگز PAN را ضبط، منتقل یا ذخیره نمی کنند.

اگرچه هیچ فناوری نمی تواند جلوگیری از نقض داده ها را تضمین کند یک پلتفرم توکن سازی ابری که به درستی ساخته شده باشد می تواند از قرار گرفتن در معرض داده های حساس جلوگیری کند و مهاجمان را از گرفتن هر نوع اطلاعات قابل استفاده مالی یا شخصی باز دارد.

"اطلاعات قابل استفاده" در اینجا کلید است. توکن سازی یک سیستم امنیتی نیست که مانع نفوذ هکرها در شبکه ها و سیستم های اطلاعاتی شما شود. بسیاری از فناوری های امنیتی دیگر برای این منظور طراحی شده اند.

با این حال هیچ استحکام غیرقابل نفوذ ثابت نشده است. چه از طریق خطای انسانی، چه از طریق بدافزار، ایمیل های فیشینگ و چه از طریق نیروی خشن و مجرمان سایبری راه های زیادی برای طعمه سازمان های آسیب پذیر دارند. در بسیاری از موارد این موضوع مربوط به زمان موفقیت آمیز بودن حمله است. مزیت توکن سازی ابری این است که در صورت وقوع نقض اجتناب ناپذیر اطلاعاتی برای سرقت وجود ندارد. به همین دلیل عملاً خطر سرقت اطلاعات را از بین می برد.