Tokenisierung


Konformität mit PCI DSS

Die Tokenisierung ist eine weitere Art der Datenmaskierung, die von der Zahlungskartenindustrie (PCI) spezifiziert wird und anstelle oder in Verbindung mit der Verschlüsselung der Primary Account Number (PAN) verwendet wird:

 

Worin besteht der Unterschied zwischen Tokenisierung und Verschlüsselung?

Das elektronische Übermitteln von Kreditkartendaten kann beunruhigend sein, sei es über einen physischen Scanner oder beim Online-Kauf. Die persönlichen Daten können zu betrügerischen Abbuchungen und Identitätsdiebstahl führen. Um bessere Sicherheit zu gewährleisten, wurde ein Standard geschaffen, der Benutzer beim angeben ihrer Kreditkartennummern schützt. Dieser Standard nennt sich Payment Card Industry Data Security Standard, kurz PCI DSS. Dieser globaler Standard schreibt vor, dass jedes Unternehmen sich an die Regeln halten muss, wenn es Kartendaten speichert, verarbeitet, überträgt oder Zahlungskarten akzeptiert. Eine Möglichkeit, die PCI DSS-Vorgaben zu erfüllen, ist die Verschlüsselung der Kreditkarte oder der "Primary Account Number" (PAN); eine andere Möglichkeit ist die Tokenisierung.

 

Tokenisierung

 

Die Tokenisierung ist eine weitere Art der Datenmaskierung, die von der Zahlungskartenindustrie (PCI) spezifiziert wird und anstelle oder in Verbindung mit der Verschlüsselung der Primary Account Number (PAN) verwendet wird.

 

Was ist ein Token

 

Ein Token ist wie ein Hyperlink zu dem Ort, an dem die Daten gespeichert sind - egal, was Sie mit dem Token machen, Sie holen keine Daten aus dem Token selbst heraus. Token können mit einem Kontext verbunden sein - daher kann eine eindeutige Version Ihrer Kreditkartennummer nur für die Verwendung bei Amazon.com erstellt werden, ohne Angst zu haben, dass sie anderswo verwendet werden könnte. Ebenso könnte ein anderes Token auf eine Kreditkartennummer für die Verwendung bei z.B. eBay verweisen. Bei der Verschlüsselung sind die Daten geschützt, aber die Daten sind darin enthalten - für den Hacker ist klar, dass er, wenn er das Verschlüsselungsschema bricht, die Daten darin findet. IRI kann eine PCI-konforme Feldwert-Tokenisierungsfunktion für FieldShieldoder CoSort SortCL-Benutzer in der IRI Datenschutz oder in der IRI Datenmanagement Suite bereitstellen.

 

"Ein Token ist wie ein Hyperlink zu dem Ort, an dem die Daten gespeichert sind - egal, was Sie mit dem Token machen, Sie holen keine Daten aus dem Token selbst heraus. Token können mit einem Kontext verbunden sein - daher kann eine eindeutige Version meiner Kreditkartennummer nur für die Verwendung bei Amazon.com erstellt werden, ohne Angst zu haben, dass sie anderswo verwendet werden könnte. Ebenso könnte ein anderes Token auf meine Kreditkartennummer für die Verwendung bei eBay verweisen.

Bei der Verschlüsselung sind die Daten geschützt, aber die Daten sind darin enthalten - für den Hacker ist klar, dass er, wenn er das Verschlüsselungsschema bricht, die Daten darin findet."

The Swamy, https://www.pymnts.com/

IRI kann eine PCI-konforme Feldwert-Tokenisierungsfunktion für FieldShield- oder CoSort SortCL-Benutzer in der IRI Datenschutz oder in der IRI Datenmanagement Suite bereitstellen.

 

Der logische Ablauf ist:

Autorisierte Benutzer können Kreditkartenwerte tokenisieren, die auch mit einer Format-Preserving Encryption (FPE)-Funktion behandelt werden können, zuerst und möglicherweise später.

 

Modifizieren und sichern Sie die Funktion selbst mit Hilfe von IRI´s professionellen Services auf den PCI Data Security Standard (DSS). In diesem Blog-Artikel finden Sie weitere Details über die aktuelle Tokenisierungsfunktion von IRI.