Tokenización (seguridad de datos)

Este es un ejemplo simplificado de cómo la tokenización de pago móvil funciona comúnmente a través de una aplicación de teléfono móvil con una tarjeta de crédito. Se pueden utilizar métodos distintos del escaneo de huellas dactilares o números PIN en una terminal de pago.

Tokenización, cuando se aplica a la seguridad de los datos, es el proceso de sustitución de un elemento de datos confidenciales por un equivalente no confidencial, denominado token, que no tiene un significado o valor intrínseco o explotable. El token es una referencia (es decir, un identificador) que se asigna a los datos confidenciales a través de un sistema de tokenización. La asignación de datos originales a un token utiliza métodos que hacen que los tokens no sean factibles de revertir en ausencia del sistema de tokenización, por ejemplo, utilizando tokens creados a partir de números aleatorios. Se utiliza una función criptográfica unidireccional para convertir los datos originales en tokens, lo que dificulta la recreación de los datos originales sin obtener acceso a los recursos del sistema de tokenización. Para brindar dichos servicios, el sistema mantiene una base de datos de bóveda de tokens que están conectados a los datos confidenciales correspondientes. La protección de la bóveda del sistema es vital para el sistema, y se deben implementar procesos mejorados para ofrecer integridad de la base de datos y seguridad física.

El sistema de tokenización debe protegerse y validarse utilizando las mejores prácticas de seguridad aplicables a la protección de datos confidenciales, el almacenamiento seguro, la auditoría, la autenticación y la autorización. El sistema de tokenización proporciona a las aplicaciones de procesamiento de datos la autoridad y las interfaces para solicitar tokens o volver a convertirlos en datos confidenciales.

Los beneficios de seguridad y reducción de riesgos de la tokenización requieren que el sistema de tokenización esté lógicamente aislado y segmentado de los sistemas y aplicaciones de procesamiento de datos que anteriormente procesaban o almacenaban datos confidenciales reemplazados por tokens. Solo el sistema de tokenización puede tokenizar datos para crear tokens o destokenizar para canjear datos confidenciales bajo estrictos controles de seguridad. Se debe demostrar que el método de generación de tokens tiene la propiedad de que no existen medios viables a través de ataques directos, criptoanálisis, análisis de canales laterales, exposición de la tabla de mapeo de tokens o técnicas de fuerza bruta para revertir los tokens a datos en vivo.

Reemplazar datos en vivo con tokens en los sistemas tiene como objetivo minimizar la exposición de datos confidenciales a esas aplicaciones, tiendas, personas y procesos, reduciendo el riesgo de compromiso o exposición accidental y acceso no autorizado a datos confidenciales. Las aplicaciones pueden operar usando tokens en lugar de datos en vivo, con la excepción de una pequeña cantidad de aplicaciones confiables a las que se les permite explícitamente eliminar tokens cuando es estrictamente necesario para un propósito comercial aprobado. Los sistemas de tokenización se pueden operar internamente dentro de un segmento aislado seguro del centro de datos, o como un servicio de un proveedor de servicios seguro.

La tokenización se puede usar para salvaguardar datos confidenciales que involucran, por ejemplo, cuentas bancarias, estados financieros, registros médicos, antecedentes penales, licencias de conducir, solicitudes de préstamos, operaciones bursátiles, registros de votantes y otros tipos de datos de identificación personal. información (PII). La tokenización se usa a menudo en el procesamiento de tarjetas de crédito. El PCI Council define la tokenización como "un proceso mediante el cual el número de cuenta principal (PAN) se reemplaza con un valor sustituto llamado token. Un PAN puede vincularse a un número de referencia a través del proceso de tokenización. En este caso, el comerciante simplemente tiene que retener el token y un tercero confiable controla la relación y posee el PAN. El token puede crearse independientemente del PAN, o el PAN puede usarse como parte de la entrada de datos a la técnica de tokenización. La comunicación entre el comerciante y el proveedor externo debe ser segura para evitar que un atacante la intercepte para obtener el PAN y el token.

La destokenización es el proceso inverso de canjear un token por su valor PAN asociado. La seguridad de un token individual se basa predominantemente en la imposibilidad de determinar el PAN original conociendo solo el valor sustituto. La elección de la tokenización como alternativa a otras técnicas, como el cifrado, dependerá de los diversos requisitos reglamentarios, la interpretación y la aceptación por parte de las respectivas entidades de auditoría o evaluación. Esto se suma a cualquier restricción técnica, arquitectónica u operativa que imponga la tokenización en el uso práctico.

Conceptos y orígenes

El concepto de tokenización, tal como lo adopta la industria actual, ha existido desde que surgieron los primeros sistemas monetarios hace siglos como un medio para reducir el riesgo en el manejo de instrumentos financieros de alto valor reemplazándolos con equivalentes sustitutos. En el mundo físico, las fichas de monedas tienen una larga historia de uso en sustitución del instrumento financiero de monedas y billetes acuñados. En la historia más reciente, las fichas de metro y las fichas de casino encontraron adopción para sus respectivos sistemas para reemplazar la moneda física y los riesgos de manejo de efectivo, como el robo. Exonumia y scrip son términos sinónimos de tales tokens.

En el mundo digital, se han utilizado técnicas de sustitución similares desde la década de 1970 como un medio para aislar elementos de datos reales de la exposición a otros sistemas de datos. En las bases de datos, por ejemplo, los valores de clave sustitutos se han utilizado desde 1976 para aislar los datos asociados con los mecanismos internos de las bases de datos y sus equivalentes externos para una variedad de usos en el procesamiento de datos. Más recientemente, estos conceptos se han ampliado para considerar esta táctica de aislamiento para proporcionar un mecanismo de seguridad a los efectos de la protección de datos.

En la industria de las tarjetas de pago, la tokenización es una forma de proteger los datos confidenciales del titular de la tarjeta para cumplir con los estándares de la industria y las regulaciones gubernamentales.

En 2001, TrustCommerce creó el concepto de tokenización para proteger los datos confidenciales de pago de un cliente, Classmates.com. Involucró a Rob Caulfield, fundador de TrustCommerce, porque el riesgo de almacenar los datos del titular de la tarjeta era demasiado grande si los sistemas alguna vez fueran pirateados. TrustCommerce desarrolló TC Citadel®, con el que los clientes podían hacer referencia a un token en lugar de los datos del titular de la tarjeta y TrustCommerce procesaría un pago en nombre del comerciante. Esta aplicación de facturación permitió a los clientes procesar pagos recurrentes sin necesidad de almacenar la información de pago del titular de la tarjeta. La tokenización reemplaza el Número de cuenta principal (PAN) con tokens generados aleatoriamente. Si se interceptan, los datos no contienen información del titular de la tarjeta, lo que los vuelve inútiles para los piratas informáticos. El PAN no se puede recuperar, incluso si el token y los sistemas en los que reside están comprometidos, ni se puede realizar ingeniería inversa del token para llegar al PAN.

Shift4 Corporation aplicó la tokenización a los datos de las tarjetas de pago y se dio a conocer al público durante una cumbre de seguridad de la industria en Las Vegas, Nevada, en 2005. La tecnología está destinada a evitar el robo de la información de la tarjeta de crédito almacenada. Shift4 define la tokenización como: “El concepto de usar un dato no descifrable para representar, por referencia, datos confidenciales o secretos. En el contexto de la industria de tarjetas de pago (PCI), los tokens se utilizan para hacer referencia a los datos del titular de la tarjeta que se administran en un sistema de tokenización, una aplicación o una instalación segura externa”.

Para proteger los datos durante todo su ciclo de vida, la tokenización a menudo se combina con el cifrado de extremo a extremo para proteger los datos en tránsito hacia el sistema o servicio de tokenización, con un token que reemplaza los datos originales al regresar. Por ejemplo, para evitar los riesgos de que el malware robe datos de sistemas de baja confianza, como los sistemas de punto de venta (POS), como en la infracción de Target de 2013, el cifrado de datos del titular de la tarjeta debe realizarse antes de que los datos de la tarjeta ingresen al POS y no después.. El cifrado se lleva a cabo dentro de los límites de un dispositivo de lectura de tarjetas validado y reforzado con seguridad, y los datos permanecen cifrados hasta que los recibe el host de procesamiento, un enfoque iniciado por Heartland Payment Systems como un medio para proteger los datos de pago de amenazas avanzadas, ahora ampliamente adoptado por la industria de pagos. empresas procesadoras y empresas tecnológicas. El PCI Council también ha especificado el cifrado de extremo a extremo (cifrado punto a punto certificado, P2PE) para varias implementaciones de servicios en varios documentos de cifrado punto a punto del PCI Council.

El proceso de tokenización

El proceso de tokenización consta de los siguientes pasos:

• La aplicación envía los datos de tokenización y la información de autenticación al sistema de tokenización.
• La aplicación envía los datos de tokenización y la información de autenticación al sistema de tokenización. Se detiene si la autenticación falla y los datos se entregan a un sistema de gestión de eventos. Como resultado, los administradores pueden descubrir problemas y gestionar eficazmente el sistema. El sistema pasa a la siguiente fase si la autenticación tiene éxito.
• Utilizando técnicas criptográficas de un solo sentido, se genera un token y se mantiene en una bóveda de datos altamente segura.
• El nuevo token se proporciona a la solicitud para su uso posterior.

Los sistemas de tokenización comparten varios componentes según los estándares establecidos.

1. Token Generation es el proceso de producir un token utilizando cualquier medio, como funciones criptográficas matemáticamente reversibles basadas en algoritmos de encriptación fuertes y mecanismos clave de gestión, funciones criptográficas no reversibles de una sola vía (por ejemplo, una función precipitada con sal fuerte y secreta), o asignación a través de un número generado aleatoriamente. Las técnicas del generador de números aleatorios (RNG) son a menudo la mejor opción para generar valores de token.
2. Token Mapping – este es el proceso de asignar el valor token creado a su valor original. Para permitir la búsqueda permitida del valor original utilizando la ficha como índice, se debe construir una base de datos segura de referencia cruzada.
3. Token Data Store – este es un repositorio central para el proceso Token Mapping que mantiene los valores originales, así como los valores de token relacionados después del proceso Token Generation. En los servidores de datos, los datos sensibles y los valores de token deben mantenerse de forma segura en formato cifrado.
4. Almacenamiento de datos cifrado – esta es la cifración de datos sensibles mientras está en tránsito.
5. Gestión de Cryptographic Llaves. Se requieren procedimientos de gestión clave fuertes para el cifrado de datos sensibles en las tiendas de datos Token.

Diferencia con el cifrado

La tokenización y el cifrado "clásico" protegen eficazmente los datos si se implementan correctamente, y un sistema de seguridad informática puede usar ambos. Si bien son similares en ciertos aspectos, la tokenización y el cifrado clásico difieren en algunos aspectos clave. Ambos son métodos de seguridad de datos criptográficos y esencialmente tienen la misma función, sin embargo, lo hacen con diferentes procesos y tienen diferentes efectos en los datos que protegen.

La tokenización es un enfoque no matemático que reemplaza los datos confidenciales con sustitutos no confidenciales sin alterar el tipo o la longitud de los datos. Esta es una distinción importante del cifrado porque los cambios en la longitud y el tipo de los datos pueden hacer que la información sea ilegible en sistemas intermedios como las bases de datos. Los datos tokenizados aún pueden ser procesados por sistemas heredados, lo que hace que la tokenización sea más flexible que el cifrado clásico.

En muchas situaciones, el proceso de encriptación es un consumidor constante de potencia de procesamiento, por lo tanto, dicho sistema necesita gastos significativos en hardware y software especializados.

Otra diferencia es que los tokens requieren muchos menos recursos computacionales para procesar. Con la tokenización, los datos específicos se mantienen total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. Esto permite que los datos tokenizados se procesen más rápidamente y reduce la carga sobre los recursos del sistema. Esto puede ser una ventaja clave en los sistemas que dependen de un alto rendimiento.

En comparación con el cifrado, las tecnologías de tokenización reducen el tiempo, los gastos y el esfuerzo administrativo al tiempo que permiten el trabajo en equipo y la comunicación.

Tipos de fichas

Hay muchas maneras en que se pueden clasificar los tokens; sin embargo, actualmente no existe una clasificación unificada. Los tokens pueden ser: de uso único o múltiple, criptográficos o no criptográficos, reversibles o irreversibles, autenticables o no autenticables, y varias combinaciones de los mismos.

En el contexto de los pagos, la diferencia entre tokens de alto y bajo valor juega un papel importante.

Tokens de alto valor (HVT)

Los HVT sirven como sustitutos de los PAN reales en las transacciones de pago y se utilizan como instrumento para completar una transacción de pago. Para funcionar, deben parecerse a los PAN reales. Múltiples HVT pueden volver a asignarse a un solo PAN y una sola tarjeta de crédito física sin que el propietario lo sepa.

Además, los HVT se pueden limitar a ciertas redes o comerciantes, mientras que los PAN no.

Los HVT también se pueden vincular a dispositivos específicos para que las anomalías entre el uso del token, los dispositivos físicos y las ubicaciones geográficas se puedan marcar como potencialmente fraudulentas.

Tokens de valor bajo (LVT) o tokens de seguridad

Los LVT también actúan como sustitutos de los PAN reales en las transacciones de pago, sin embargo, tienen un propósito diferente. Los LVT no se pueden usar solos para completar una transacción de pago. Para que un LVT funcione, debe ser posible relacionarlo con el PAN real que representa, aunque solo de manera estrictamente controlada. El uso de tokens para proteger los PAN se vuelve ineficaz si se viola un sistema de tokenización, por lo que es extremadamente importante asegurar el sistema de tokenización en sí.

Operaciones, limitaciones y evolución del sistema

Los sistemas de tokenización de primera generación usan una base de datos para mapear desde datos en vivo hasta tokens sustitutos sustitutos y viceversa. Esto requiere almacenamiento, administración y respaldo continuo para cada nueva transacción agregada a la base de datos de tokens para evitar la pérdida de datos. Otro problema es garantizar la coherencia entre los centros de datos, lo que requiere una sincronización continua de las bases de datos de tokens. Las compensaciones significativas de coherencia, disponibilidad y rendimiento, según el teorema CAP, son inevitables con este enfoque. Esta sobrecarga agrega complejidad al procesamiento de transacciones en tiempo real para evitar la pérdida de datos y asegurar la integridad de los datos en los centros de datos, y también limita la escala. El almacenamiento de todos los datos confidenciales en un solo servicio crea un objetivo atractivo para ataques y compromisos, e introduce riesgos legales y de privacidad en la agregación de datos de privacidad en Internet, particularmente en la UE.

Otra limitación de las tecnologías de tokenización es medir el nivel de seguridad de una solución determinada a través de una validación independiente. Con la falta de estándares, este último es fundamental para establecer la solidez de la tokenización que se ofrece cuando los tokens se utilizan para el cumplimiento normativo. El PCI Council recomienda la verificación y validación independientes de cualquier reclamo de seguridad y cumplimiento: "Los comerciantes que consideren el uso de tokenización deben realizar una evaluación exhaustiva y un análisis de riesgo para identificar y documentar las características únicas de su implementación particular, incluidas todas las interacciones con datos de tarjetas de pago y los sistemas y procesos de tokenización particulares"

El método de generación de tokens también puede tener limitaciones desde el punto de vista de la seguridad. Con las preocupaciones sobre la seguridad y los ataques a los generadores de números aleatorios, que son una opción común para la generación de fichas y tablas de mapeo de fichas, se debe aplicar un escrutinio para garantizar que se utilicen métodos probados y validados frente a un diseño arbitrario. Los generadores de números aleatorios tienen limitaciones en términos de velocidad, entropía, siembra y sesgo, y las propiedades de seguridad deben analizarse y medirse cuidadosamente para evitar la previsibilidad y el compromiso.

Con la creciente adopción de la tokenización, han surgido nuevos enfoques de tecnología de tokenización para eliminar tales riesgos y complejidades operativos y permitir una mayor escala adecuada a los casos de uso emergentes de big data y procesamiento de transacciones de alto rendimiento, especialmente en servicios financieros y banca. Además de los métodos de tokenización convencionales, Protegrity brinda seguridad adicional a través de su llamada "capa de ofuscación". Esto crea una barrera que impide que no solo los usuarios habituales accedan a la información que no verían, sino también los usuarios privilegiados que tienen acceso, como los administradores de bases de datos.

La tokenización sin estado permite el mapeo aleatorio de elementos de datos en vivo a valores sustitutos sin necesidad de una base de datos mientras conserva las propiedades de aislamiento de la tokenización.

En noviembre de 2014, American Express lanzó su servicio de token que cumple con el estándar de tokenización EMV. Otros ejemplos notables de sistemas de pago basados en tokenización, según el estándar EMVCo, incluyen Google Wallet, Apple Pay, Samsung Pay, Microsoft Wallet, Fitbit Pay y Garmin Pay. Visa utiliza técnicas de tokenización para proporcionar compras móviles y en línea seguras.

Usando blockchain, en lugar de depender de terceros confiables, es posible ejecutar bases de datos altamente accesibles y resistentes a manipulaciones para transacciones. Con la ayuda de blockchain, la tokenización es el proceso de convertir el valor de un activo tangible o intangible en un token que se puede intercambiar en la red.

Esto permite la tokenización de activos financieros convencionales, por ejemplo, mediante la transformación de los derechos en un token digital respaldado por el propio activo mediante la tecnología blockchain. Además de eso, la tokenización permite la compartimentación y la gestión de datos simple y eficiente entre múltiples usuarios. Los tokens individuales creados a través de la tokenización se pueden usar para dividir la propiedad y revender parcialmente un activo. En consecuencia, solo las entidades con el token apropiado pueden acceder a los datos.

Numerosas empresas de cadenas de bloques admiten la tokenización de activos. En 2019, eToro adquirió Firmo y lo renombró como eToroX. A través de su Token Management Suite, que está respaldado por monedas estables vinculadas al USD, eToroX permite la tokenización de activos.

STOKR, una plataforma que vincula a inversores con pequeñas y medianas empresas, facilita la tokenización de acciones. Los tokens emitidos a través de la plataforma STOKR se reconocen legalmente como valores transferibles según las regulaciones del mercado de capitales de la Unión Europea.

Los interruptores permiten la tokenización de la propiedad intelectual, lo que permite a los creadores de contenido emitir sus propios tokens digitales. Los tokens se pueden distribuir a una variedad de participantes del proyecto. Sin intermediarios ni órganos rectores, los creadores de contenido pueden integrar funciones de reparto de recompensas en el token.

Aplicación a sistemas de pago alternativos

La creación de un sistema de pago alternativo requiere que varias entidades trabajen juntas para brindar comunicación de campo cercano (NFC) u otros servicios de pago basados en tecnología a los usuarios finales. Uno de los temas es la interoperabilidad entre los jugadores y para resolver este problema se propone el rol de administrador de servicios de confianza (TSM) para establecer un vínculo técnico entre los operadores de redes móviles (MNO) y los proveedores de servicios, para que estas entidades puedan trabajar juntas.. La tokenización puede desempeñar un papel en la mediación de dichos servicios.

La tokenización como estrategia de seguridad radica en la capacidad de reemplazar un número de tarjeta real con un sustituto (eliminación de destino) y las limitaciones posteriores impuestas al número de tarjeta sustituto (reducción de riesgo). Si el valor sustituto se puede utilizar de forma ilimitada o incluso de manera ampliamente aplicable, el valor del token gana tanto valor como el número real de la tarjeta de crédito. En estos casos, el token puede estar asegurado por un segundo token dinámico que es único para cada transacción y también asociado a una tarjeta de pago específica. Los ejemplos de tokens dinámicos específicos de transacciones incluyen criptogramas utilizados en la especificación EMV.

Aplicación a los estándares PCI DSS

El estándar de seguridad de datos de la industria de tarjetas de pago, un conjunto de pautas de toda la industria que debe cumplir cualquier organización que almacene, procese o transmita datos de titulares de tarjetas, exige que los datos de tarjetas de crédito estén protegidos cuando se almacenen. La tokenización, tal como se aplica a los datos de tarjetas de pago, a menudo se implementa para cumplir con este mandato, reemplazando los números de tarjeta de crédito y ACH en algunos sistemas con un valor aleatorio o una cadena de caracteres. Los tokens se pueden formatear de varias maneras. Algunos proveedores de servicios de token o productos de tokenización generan los valores sustitutos de tal manera que coincidan con el formato de los datos confidenciales originales. En el caso de los datos de la tarjeta de pago, un token puede tener la misma longitud que un número de cuenta principal (número de tarjeta bancaria) y contener elementos de los datos originales, como los últimos cuatro dígitos del número de tarjeta. Cuando se realiza una solicitud de autorización de tarjeta de pago para verificar la legitimidad de una transacción, se puede devolver un token al comerciante en lugar del número de tarjeta, junto con el código de autorización de la transacción. El token se almacena en el sistema de recepción, mientras que los datos reales del titular de la tarjeta se asignan al token en un sistema de tokenización seguro. El almacenamiento de tokens y datos de tarjetas de pago debe cumplir con los estándares PCI actuales, incluido el uso de criptografía sólida.

Estándares (ANSI, PCI Council, Visa y EMV)

La tokenización se encuentra actualmente en la definición de estándares en ANSI X9 como X9.119 Parte 2. X9 es responsable de los estándares de la industria para la criptografía financiera y la protección de datos, incluida la administración de PIN de tarjetas de pago, el cifrado de tarjetas de crédito y débito y las tecnologías y procesos relacionados. El PCI Council también ha declarado su apoyo a la tokenización para reducir el riesgo de violaciones de datos, cuando se combina con otras tecnologías como el cifrado punto a punto (P2PE) y las evaluaciones de cumplimiento de las pautas PCI DSS. Visa Inc. publicó las mejores prácticas de tokenización de Visa para usos de tokenización en aplicaciones y servicios de manejo de tarjetas de crédito y débito. En marzo de 2014, EMVCo LLC lanzó su primera especificación de tokenización de pago para EMV. PCI DSS es el estándar utilizado con más frecuencia para los sistemas de tokenización utilizados por los actores de la industria de pagos.

Reducción de riesgos

La tokenización puede dificultar que los atacantes obtengan acceso a datos confidenciales fuera del sistema o servicio de tokenización. La implementación de tokenización puede simplificar los requisitos de PCI DSS, ya que los sistemas que ya no almacenan ni procesan datos confidenciales pueden tener una reducción de los controles aplicables requeridos por las pautas de PCI DSS.

Como práctica recomendada de seguridad, se debe implementar una evaluación y validación independientes de cualquier tecnología utilizada para la protección de datos, incluida la tokenización, para establecer la seguridad y la solidez del método y la implementación antes de cualquier reclamo de cumplimiento de privacidad, cumplimiento normativo y la seguridad de los datos se puede hacer. Esta validación es particularmente importante en la tokenización, ya que los tokens se comparten externamente en uso general y, por lo tanto, se exponen en entornos de alto riesgo y baja confianza. La inviabilidad de revertir un token o conjunto de tokens a datos confidenciales en vivo debe establecerse utilizando medidas y pruebas aceptadas en la industria por parte de expertos apropiados independientes del proveedor de servicios o soluciones.

Restricciones en el uso de tokens

No todos los datos de la organización se pueden tokenizar y deben examinarse y filtrarse.

Cuando las bases de datos se utilizan a gran escala, se expanden exponencialmente, lo que hace que el proceso de búsqueda tarde más, restringe el rendimiento del sistema y aumenta los procesos de copia de seguridad. Una base de datos que vincula información confidencial a tokens se denomina bóveda. Con la adición de nuevos datos, la carga de trabajo de mantenimiento de la bóveda aumenta significativamente.

Para garantizar la coherencia de la base de datos, las bases de datos de tokens deben sincronizarse continuamente.

Además, se deben construir canales de comunicación seguros entre los datos confidenciales y la bóveda para que los datos no se vean comprometidos en el camino hacia o desde el almacenamiento.