События пандемии привели для многих компаний к повышению уязвимости данных, трудностям с выполнением нормативных требований и росту затрат. Согласно отчету IBM, утечки данных в последнее время обходятся компаниям в среднем в 4,24 млн долл. потерь в расчете на инцидент — это рекорд за последние 17 лет.
Одной из популярных стратегий обеспечения безопасности, особенно среди предприятий малого и среднего бизнеса, стала токенизация данных — метод, позволяющий повысить защиту операций электронной коммерции и уменьшить затраты и сложности, связанные с соблюдением требований регуляторов.
Токенизация — это замена конфиденциальных данных на «токены», неконфиденциальные данные того же формата. С помощью токенизации, помимо прочего, можно замаскировать все конфиденциальные части каких-либо данных, а остальные оставить без изменений.
На сегодня применяются два основных вида токенизации — с защищенным хранилищем (vault) и без него (vaultless). В первом случае хранилище содержит таблицу соответствия токенов и конфиденциальных данных и обеспечивает функции создания токена и восстановления исходных данных. Токены при этом могут формироваться любым способом, исключающим возможность получить по ним исходные данные, например, с помощью генератора случайных чисел. В случае vaultless токены создаются с использованием стандартных алгоритмов шифрования, сохраняющего формат. Этот вариант считается более эффективным, так как не всегда требует хранения исходных конфиденциальных данных.
Пример применения — покупатель оплачивает покупку по NFC через платежное приложение, которое при добавлении карты заменило ее данные на токен с помощью соответствующего сервиса. Таким образом, POS-терминалу продавца вместо реального номера карты передается токен. Терминал отправляет запрос обслуживающему банку, тот получает данные карты в обмен на токен у сервиса токенизации, и платежная операция выполняется.
В числе преимуществ токенизации — уменьшение риска утечек данных и штрафов, укрепление доверия клиентов благодаря защите онлайн-транзакций, соблюдение нормативных требований, в том числе стандарта защиты платежных карт PCI DSS, который требует маскировать данные держателя карты, и ускорение процедуры совершения повторных покупок за счет безопасного хранения данных карты онлайн-магазином в форме токена.
Кроме того, токенизация способствует безопасному обмену документами, которые могут частично содержать конфиденциальные сведения, например, маркетинговыми, аналитическими и другими отчетами. Наконец, токенизация позволяет реализовать принцип минимально необходимых привилегий таким образом, что пользователи будут иметь доступ только к тем данным, которые им нужны для выполнения конкретной задачи.