新冠疫情的突然爆發讓遠程辦公成為新的常態,但這種前所未有的工作方式和相關技術也帶來數據脆弱性、合規保障挑戰及相應成本,導致企業難以滿足通用數據保護條例(GDPR)等安全標準及數據泄露防范要求。IBM在一份報告中指出,如今每起數據泄露事件平均給企業造成424萬美元損失,已經達到該報告17年統計周期中的最高點。
因此,企業需要強大的數據安全策略實現對信息的匿名使用,防范潛在數據安全漏洞。作為一種新型數據安全策略,數據令牌化能幫助企業在完全遵循數據法規的同時,繼續保持高效、安全運營。數據令牌化已經在眾多中小型企業的信用卡與電子商務交易活動中發揮作用,憑借著降低行業標準合規難度、節約政府執法成本、削減合規復雜性等優勢受到廣泛歡迎。
令牌化的實質,就是利用獨一無二的標識符號替換掉敏感數據。該標識符號既保留所有必要數據信息,又不會影響其安全性。令牌化會以相同格式創建出完全隨機的字符,快速實現數據脫敏。
數據令牌化如何為企業服務?
令牌化會使用唯一標識符號遮蔽或替換掉敏感數據,同時保留相關數據的所有基本信息。這種等效的唯一替換數據被稱為“令牌”。令牌化是一種非破壞性的數據脫敏形式,其中原始數據可通過唯一替換數據(令牌)順利還原。目前,利用令牌實現數據加密的方法主要分為兩種:
基于保險庫的令牌化
無保險庫的令牌化
在第一種情況下,令牌庫作為敏感數據值的字典,并將其映射至令牌值,借此替換掉數據庫或數據存儲中的原始數據值。通過這種方式,應用程序或用戶即可將字典中的原始值對應至可以逆向還原的關聯令牌。令牌保險庫是唯一可以將原始信息映射回關聯令牌的環境。
第二種數據令牌化方法則不依賴于保險庫。在無保險庫令牌化方案中,令牌是利用算法計算得出,而非被存放于安全數據庫內。因此只要令牌具備運算可逆性,則原始敏感信息通常不會被保存在保險庫內。
為了更好地理解其基本原理,下面我們來看一個使用令牌保險庫實現數據令牌化的具體示例。
客戶需要在交易活動中提交自己的信用卡號。在傳統交易中,信用卡號會被發送至支付處理程序,之后再存儲在商家的內部系統中以供后續重復使用。現在,讓我們看看基于數據令牌化的整個交易流程有何不同:
當客戶在交易當中提交信用卡號時,卡號會被發送至令牌系統或保險庫,而非支付處理程序。
令牌系統或保險庫將客戶的敏感信息(即信用卡號)替換為自定義的、隨機創建的字母加數字ID,也就是令牌。
在生成令牌之后,再以安全形式將信息返回至商家的POS終端和支付處理程序,成功完成交易。
通過數據令牌化,企業即可通過無線網絡安全實現數據傳輸。但為了有效實現數據令牌化,企業還需要借助支付網關以安全存儲敏感數據。其中信用卡信息的存儲和生成都將由支付網關負責實現。
為何需要使用數據令牌化技術?
對企業而言,其經營目標是保護業務系統中的一切敏感支付或個人信息,并將這些數據存儲在安全環境當中。數據令牌化將幫助企業以無法直接理解的標識符號替換掉數據集內容,由此達成安全保護目標。
數據令牌化對于企業的重要意義,主要分為以下五點:
1.降低數據泄露和受到處罰的風險
令牌化有助于保護企業免受數據盜竊所引發的負面財務影響。令牌化過程不會屏蔽掉個人數據,因此可以保護其免受各類數據泄露的沖擊。
安全違規往往會給企業帶來直接收入損失,導致客戶傾向于選擇其他更有能力保護支付數據的同業競爭對手。
在數據泄露發生之后,由此引發的司法訴訟往往會給企業造成巨額損失。例如,在經歷一系列網絡安全漏洞(包括誘導性的端到端加密)之后,Zoom被迫設立一項8500萬美元的基金,專門用于向美國用戶支付現金索賠。此外,無法切實遵循各類支付和安全標準,同時可能帶來巨額商業罰款和制裁。例如,有違PCI標準的行為可能給信用卡企業帶來每月5000至10萬美元的罰款。
2.建立客戶信任
令牌化能幫助企業與客戶之間建立信任。令牌化能保證數據以正確的格式實現安全傳輸,借此保障客戶和企業安全放心地進行線上交易。如此一來,網絡攻擊和支付欺詐分子將很難將魔爪直接伸向敏感數據。
3.遵循合規性要求
令牌化能幫助企業遵循并滿足行業法規的要求。例如,需要接觸客戶借記卡和信用卡的企業必須遵循支付卡行業數據安全標準(PCIDSS)。令牌化能夠滿足相關法規,對敏感的持卡人信息進行脫敏,并安全管理與這些數據相關的存儲和刪除要求。因此,令牌化能夠有效接管與支付卡相關的敏感數據安全責任,全面降低由合規性帶來的運營成本。
4.促進基于訂閱的購買模式
由于結賬速度更快、客戶體驗更順暢,消費者對于基于訂閱的購買模式也會更樂意接受。為了加快結賬流程,客戶愿意把自己的支付信息交給商家安全保管。而令牌化無疑有利于保護這些財務數據,例如將信用卡信息轉換為非敏感令牌。黑客無法破解這些令牌的內容,自然無法將其轉化成經濟利益,由此就建立起一個安全的經常性支付環境。包括GooglePay和ApplePay在內,目前各大主要移動支付網關都已經在運用數據令牌化技術,實現既無縫順暢、又安全可靠的用戶體驗。這種安全保障,也有利于企業吸引到更多新增注冊用戶。
5.保障數據安全共享
企業經常需要將敏感數據用于其他業務目的,例如營銷指標、分析或報告。通過實施令牌化,企業可以最大限度減少允許直接使用敏感數據的范圍,并確保對數據內容的分析、其他業務流程的用戶及應用程序都只能訪問到令牌化數據。如此一來,其訪問到的就只有特定任務所必需的相應數據,所以令牌化就相當于實現了對敏感數據的最低權限訪問。換言之,令牌化流程能夠保證原始敏感數據始終安全無憂。
總結
任何組織的合規義務都與其系統規模成正比——使用敏感數據的應用程序越多,面對的數據合規負擔與檢查壓力就越大。也正因為如此,令牌化平臺才會愈發流行。令牌化平臺能幫助企業在保護敏感信息的同時,嚴格遵循安全法規提出的合規性要求。
正是憑借著降低安全風險和審計范圍兩大優勢,令牌化技術成功削減了合規性成本、緩解了數據監管壓力。妠,數據令牌化平臺已經成為滿足當下及未來合規性要求的可靠方式,幫助企業將寶貴的資源集中起來、在這個瞬息萬變的經濟時代專注于爭奪市場份額。
