Tokenización (seguridad de la información)

La tokenización , aplicada en el campo de la seguridad de la información , es el proceso de reemplazar un elemento de datos confidencial con un equivalente no confidencial, llamado token , que no tiene un significado independiente para uso externo o interno. Un token es un enlace (es decir, un identificador ) que se asigna a datos confidenciales a través de un sistema de tokenización. La asignación de datos sin procesar a un token utiliza métodos que hacen que sea imposible revertir la transformación de tokens en datos sin procesar fuera del sistema de tokenización, por ejemplo, utilizando tokens generados con números aleatorios . [3] El sistema de tokenización debe protegerse y verificarse sobre la base de las medidas de seguridad más eficaces [4] aplicadas a la protección, el almacenamiento, la auditoría, la autenticación y la autorización de datos confidenciales. El sistema de tokenización proporciona a las aplicaciones de datos la autoridad y las interfaces para solicitar tokens o descifrar datos confidenciales de los tokens.

Los beneficios de seguridad y mitigación de riesgos de la tokenización requieren que el sistema de tokenización esté lógicamente aislado y segmentado de los sistemas y aplicaciones de procesamiento de datos que anteriormente manejaban o almacenaban los datos confidenciales que reemplazan los tokens. Solo el sistema de tokenización le permite obtener los tokens apropiados a partir de datos confidenciales o realizar la transformación inversa. Es innegable que el método de generación de tokens tiene la propiedad de que no existe un medio adecuado para convertir tokens en datos confidenciales válidos mediante ataque directo, criptoanálisis , análisis de canal lateral, exposición de tablas de mapeo de tokens o fuerza bruta .

El acceso a datos confidenciales se minimiza para aplicaciones, tiendas electrónicas, personas y procesos donde los datos reales en los sistemas se reemplazan por tokens, lo que reduce el riesgo de compromiso, exposición accidental y acceso no autorizado a datos confidenciales. Las aplicaciones pueden funcionar con tokens en lugar de datos reales, excepto por una pequeña cantidad de aplicaciones confiables que tienen permiso explícito para convertir tokens nuevamente en datos válidos cuando sea estrictamente necesario para fines comerciales aprobados. Los sistemas de tokenización también se pueden construir dentro del centro de datos como un segmento aislado que brinda seguridad y como un servicio adicional de un proveedor de servicios de seguridad.

La tokenización se puede utilizar para proteger datos confidenciales, como cuentas bancarias , estados financieros , registros médicos , antecedentes penales , licencias de conducir , préstamos , transacciones de acciones , registro de votantes y otra información personal . La tokenización se usa a menudo al emitir tarjetas de crédito. El PCI DSS Council define la tokenización como “el proceso mediante el cual un número de cuenta principal ( código PAN ) se reemplaza con un valor sustituto llamado token. La destokenización es el proceso inverso de obtener un valor de código PAN de un token de destino. La seguridad de un token individual depende principalmente de la imposibilidad de determinar el código PAN original , conociendo únicamente el valor sustituto. [5] La elección de la tokenización como alternativa a otros métodos, como el cifrado , por ejemplo , depende de los requisitos y estándares normativos específicos adoptados por los organismos de auditoría o evaluación pertinentes. Existen otras limitaciones técnicas, arquitectónicas y operativas que surgen en la aplicación práctica de la tokenización.

Conceptos y orígenes

Alex Rofle "La caída y el ascenso de la tokenización", 13 de mayo de 2015 :

El concepto de tokenización, adoptado por la industria actual, ha existido desde que aparecieron los primeros sistemas monetarios hace siglos como un medio para reducir el riesgo de operar con instrumentos financieros de alto valor reemplazándolos con equivalentes sustitutos. En el mundo físico, las fichas (moneda) tienen una larga historia de uso como sustituto de instrumentos financieros como monedas y billetes . En la historia moderna, las fichas de metro y las fichas de casino se utilizan en lugares apropiados para eliminar los riesgos de moneda física y los riesgos de circulación de efectivo, como el robo.


En el mundo digital, se han utilizado técnicas de sustitución similares desde la década de 1970 como medio para aislar elementos de datos reales de los efectos de otros sistemas de datos. Por ejemplo, las bases de datos han utilizado valores de clave sustitutos desde 1976 para aislar datos asociados con motores de base de datos internos y sus equivalentes externos para varias aplicaciones de procesamiento de datos. Recientemente, estos conceptos se han ampliado para proporcionar tácticas de aislamiento y medidas de seguridad aplicadas para proteger los datos. [6]

En la industria de las tarjetas de pago, la tokenización es uno de los medios para proteger los datos confidenciales del titular de la tarjeta para cumplir con los estándares de la industria y las regulaciones gubernamentales.

En 2001, TrustCommerce creó el concepto de tokenización para proteger los datos confidenciales de pago de los clientes de Classmates.com. [7] La ​​empresa recurrió a TrustCommerce porque el riesgo de almacenar datos de titulares de tarjetas era demasiado grande si sus sistemas eran pirateados. TrustCommerce desarrolló el sistema TC Citadel®, mediante el cual los compradores podían consultar el token en lugar de los datos del titular de la tarjeta, y TrustCommerce procesó el pago en nombre del comerciante. [8] Este sistema de seguridad permitió a los clientes realizar pagos recurrentes de forma segura y segura sin tener que almacenar la información de pago del titular de la tarjeta. La tokenización reemplaza el número de cuenta principal ( código PAN ) con tokens seguros generados aleatoriamente. Si se interceptan, los datos no contienen información sobre los titulares de las tarjetas, lo que los hace inútiles para los piratas informáticos. Un código PAN no se puede recuperar incluso si el token y los sistemas en los que reside están comprometidos y el token no se puede volver a convertir en un código PAN .

Shift4 Corporation [9] aplicó la tokenización a los datos de tarjetas de pago y se hizo pública durante la Cumbre de Seguridad de la Industria en Las Vegas , Nevada en 2005. [10] La tecnología está diseñada para evitar el robo de información de tarjetas de crédito en un dispositivo de almacenamiento . Shift4 define la tokenización como “el concepto de usar una pieza de datos que es invulnerable al descifrado para representar datos confidenciales o secretos por referencia a ellos. En el contexto de la industria de tarjetas de pago (PCI DSS), los tokens se utilizan para hacer referencia a los datos del titular de la tarjeta que se administran en un sistema de tokenización, una aplicación o un servidor remoto seguro”. [once]

Para garantizar la protección de datos a lo largo del ciclo de vida, la tokenización a menudo se combina con el cifrado de extremo a extremo cuando se transfieren datos a un sistema o servicio de tokenización, incluida la transformación inversa del token a los datos originales. Por ejemplo, para evitar el riesgo de robo de malware de sistemas de baja confianza como el punto de venta (POS), como en el caso del ataque informático de 2013 , el cifrado de los datos del titular de la tarjeta debe realizarse antes de ingresar los datos de la tarjeta en el POS, no después. El cifrado se lleva a cabo dentro de un lector de tarjetas seguro y verificado y los datos permanecen cifrados hasta que los recibe el host de procesamiento. Un enfoque promovido por Heartland Payment Systems [12] como un medio para proteger los datos de pago de amenazas avanzadas ahora es ampliamente utilizado por empresas de procesamiento de pagos industriales y de tecnología. [13] El PCI DSS Council también ha definido requisitos de cifrado de extremo a extremo (Cifrado certificado P2PE ) para varias aplicaciones en documentos relevantes .

Diferencia del cifrado

La tokenización y el cifrado "clásico" protegen eficazmente los datos si se implementan correctamente, y la solución de seguridad ideal usaría ambos métodos. Si bien son similares en algunos aspectos, la tokenización y el cifrado clásico difieren en algunos aspectos clave. Ambos métodos brindan protección de datos criptográficos y realizan esencialmente la misma función, pero lo hacen de diferentes maneras y tienen diferentes efectos en los datos que protegen. [catorce]

La tokenización es un enfoque no matemático que reemplaza los datos confidenciales con sustitutos no confidenciales sin cambiar el tipo o la longitud de los datos. Esta es una diferencia importante con el cifrado porque cambiar la longitud y el tipo de datos puede hacer que la información sea ilegible en sistemas intermedios como las bases de datos. Los datos tokenizados son seguros, pero aún pueden ser procesados ​​por sistemas heredados, lo que hace que la tokenización sea más flexible que el cifrado clásico.

Otra diferencia es que el procesamiento de tokens requiere significativamente menos recursos informáticos. Con la tokenización, ciertos datos permanecen total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se oculta. Esto permite un procesamiento más rápido de los datos tokenizados y reduce la carga de los recursos del sistema. Esto puede ser una ventaja clave en sistemas que se centran en alto rendimiento y bajo consumo. [quince]

Tipos de fichas

Hay muchas formas de clasificar los tokens: únicos o multipropósito, criptográficos o no criptográficos, reversibles o irreversibles, autenticados o no autenticados, y varias combinaciones de estos.

En el contexto de los pagos, la diferencia entre tokens grandes y pequeños juega un papel importante. [dieciséis]

Tokens multibit

Los tokens de varios bits sirven como sustitutos de los PAN reales en las transacciones de pago y se utilizan como herramienta para completar una transacción de pago. Deben parecerse a los PAN reales para funcionar . Varios de estos tokens se pueden asignar a un PAN y una tarjeta de crédito física sin el conocimiento del propietario. [17]

Además, los tokens de varios bits se pueden restringir a una red y/o comerciantes específicos, mientras que los códigos PAN no lo están.

Los tokens de varios bits también se pueden vincular a dispositivos específicos, de modo que las combinaciones inusuales entre el dispositivo físico que usa el token y su ubicación geográfica pueden considerarse potencialmente fraudulentas.

Tokens de bits bajos o de seguridad

Los tokens pequeños también actúan como sustitutos de los PAN reales en las transacciones de pago, sin embargo, tienen un propósito diferente. Dichos tokens no se pueden usar para completar una transacción de pago. Para que funcione un token de bit bajo, debe ser posible asignarlo al PAN real que representa, pero solo de una manera estrictamente controlada. El uso de tokens para proteger los códigos PAN se vuelve ineficaz si el sistema de tokenización no funciona, por lo que es fundamental garantizar la seguridad del propio sistema de tokenización. [Dieciocho]

Sistema de Operaciones, Limitaciones y Evolución

Los sistemas de tokenización de primera generación utilizan una base de datos para mapear datos reales hacia y desde tokens de reemplazo. Para evitar la pérdida de datos, esto requiere almacenamiento, administración y respaldo continuo para cada nueva transacción agregada a la base de datos de tokens. Otro desafío es garantizar la coherencia entre los centros de datos, lo que requiere una sincronización continua de las bases de datos de tokens. Con este enfoque, las compensaciones significativas entre coherencia, disponibilidad y rendimiento son inevitables, de acuerdo con el teorema CAP . Esta sobrecarga agrega complejidad al procesamiento de transacciones en tiempo real para evitar la pérdida de datos y la integridad de los datos en los centros de datos, y limita la escala. Mantener todos los datos confidenciales en un solo lugar crea un objetivo atractivo para ataques y daños, e introduce riesgos legales de generalizar datos confidenciales en línea , en particular en la UE.

Otra limitación de las tecnologías de tokenización es la medición del nivel de seguridad de una solución determinada a través de una verificación independiente. Con la falta de estándares, este último es fundamental para establecer la credibilidad de la tokenización que se ofrece cuando los tokens se utilizan para el cumplimiento normativo. El PCI DSS Council recomienda que todos los requisitos de seguridad y cumplimiento se revisen y validen de forma independiente: “Los comerciantes que consideren el uso de la tokenización deben realizar una evaluación y un análisis de riesgos exhaustivos para identificar y documentar las características únicas de su implementación particular, incluidas todas las interacciones con la tarjeta de pago. datos y sistemas y procesos específicos. tokenización”. [5]

El método de generación de tokens también puede tener limitaciones de seguridad. En cuanto a la seguridad y los ataques a los generadores de números aleatorios , que se usan comúnmente para generar tokens y tablas de mapeo de tokens, se debe realizar una investigación cuidadosa para garantizar que se esté utilizando un método verdaderamente probado y confiable. [19] Los generadores de números aleatorios tienen limitaciones en términos de velocidad, entropía, selección y sesgo, y las propiedades de seguridad deben analizarse y medirse cuidadosamente para evitar la previsibilidad y el compromiso.

A medida que la tokenización se ha ido adoptando más ampliamente, han surgido nuevos enfoques de la tecnología para abordar estos riesgos y complejidades operativos, y para adaptarse a nuevos casos de uso de big data y procesamiento de transacciones de alto rendimiento, especialmente en servicios financieros y bancarios. [20] Las tecnologías de tokenización tolerante a fallas y tokenización sin estado [21 ] han sido probadas y validadas de forma independiente para limitar significativamente la cantidad de controles estándar de seguridad de datos PCI DSS aplicables para reducir la cantidad de evaluaciones. La tokenización sin estado le permite asignar arbitrariamente elementos de datos actuales a valores sustitutos sin usar una base de datos mientras mantiene las propiedades de aislamiento de la tokenización.

En noviembre de 2014, American Express lanzó un servicio de token que cumple con el estándar de token EMV . [22]

Aplicación a sistemas de pago alternativos

La creación de un sistema de pago alternativo requiere la colaboración de varias organizaciones para proporcionar comunicación de campo cercano (NFC) u otras tecnologías basadas en servicios de pago a los usuarios finales. Uno de los problemas es la compatibilidad entre los participantes. Para abordar este problema, se propone un rol de administrador de servicios confiables (TSM) para establecer un enlace técnico entre los operadores celulares (CNO) y los proveedores de servicios para que estas entidades puedan trabajar juntas. La tokenización puede desempeñar un papel de intermediario para dichas entidades.

La tokenización como estrategia de seguridad consiste en la posibilidad de sustituir el número de tarjeta real por uno sustituto (ocultamiento de finalidad) y establecer restricciones posteriores impuestas al número de tarjeta sustituto (reducción de riesgo). Si el número sustituto se puede utilizar de forma ilimitada, o incluso en un sentido amplio, como en Apple Pay , entonces el token adquiere el mismo significado que un número de tarjeta de crédito real. En estos casos, el token puede estar protegido por un segundo token dinámico, que es único para cada transacción y también está asociado a una tarjeta de pago específica. Un ejemplo de tokens específicos de transacciones dinámicas incluye los criptogramas utilizados en la especificación EMV.

Aplicación a los estándares PCI DSS

El estándar de seguridad de datos de la industria de tarjetas de pago , un conjunto de requisitos de toda la industria que debe cumplir cualquier organización que almacene, procese o transmita datos de titulares de tarjetas, dicta que los datos de tarjetas de crédito deben estar protegidos en reposo. [23] La tokenización aplicada a los datos de tarjetas de pago a menudo se implementa para cumplir con este estándar, reemplazando los números de tarjetas de crédito y ACH en algunos sistemas con un valor aleatorio o una cadena de caracteres. [24] Los tokens se pueden formatear de varias maneras. Algunos proveedores de tokens o sistemas de tokenización crean valores sustitutos para que coincidan con el formato de los datos confidenciales originales. En el caso de los datos de la tarjeta de pago, el token puede tener la misma longitud que el número de la cuenta principal (tarjeta bancaria) y contener elementos de datos iniciales como los últimos cuatro dígitos del número de la tarjeta. Al solicitar la autorización de una tarjeta de pago para verificar la legitimidad de una transacción, se puede devolver un token al comerciante en lugar de un número de tarjeta, así como un código de autorización de transacción. El token se almacena en el sistema receptor y los datos reales del titular de la tarjeta se comparan con el token en un sistema de tokenización seguro. El almacenamiento de tokens y datos de tarjetas de pago debe cumplir con los estándares PCI DSS aplicables, incluido el uso de criptografía fuerte . [25]

Estándares (ANSI, PCI DSS Council, Visa y EMV)

La tokenización se encuentra actualmente en la definición de estándares en ANSI X9 como X9.119 Parte 2 . X9 es responsable de la criptografía financiera y los estándares de la industria de protección de datos, incluida la gestión de PIN de tarjetas de pago, el cifrado de tarjetas de crédito y débito, y las tecnologías y procesos relacionados.

El PCI DSS Council también anunció el apoyo a la tokenización para reducir el riesgo de fuga de datos en combinación con otras tecnologías como el cifrado punto a punto (P2PE) y las evaluaciones de cumplimiento de PCI DSS. [26]

visa inc. lanzó Visa Tokenization Best Practices [27] para el uso de tokenización en aplicaciones y servicios de procesamiento de tarjetas de crédito y débito.

En marzo de 2014, EMVCo LLC lanzó su primera especificación de pago con token EMV . [28]

NIST estandarizó los algoritmos de cifrado que conservan el formato FF1 y FF3 en su Publicación especial 800-38G. [29]

Reducción de riesgos

Cuando se valida correctamente y se somete a una evaluación independiente adecuada, la tokenización puede dificultar que los atacantes accedan a datos confidenciales fuera del sistema o servicio de tokenización. La introducción de tokenización puede simplificar los requisitos de PCI DSS , ya que los sistemas que ya no almacenan ni procesan datos confidenciales pueden tener una reducción en los controles aplicados requeridos por las pautas de PCI DSS.

Como mejor práctica de seguridad [30] , cualquier tecnología utilizada para proteger los datos, incluida la tokenización, debe evaluarse y verificarse de forma independiente para establecer la seguridad y la solidez del método y la implementación antes de que se puedan realizar reclamos de privacidad, cumplimiento normativo y seguridad de los datos. Esta verificación es especialmente importante para la tokenización, ya que los tokens se comparten para uso general y, por lo tanto, están en riesgo en entornos de baja confianza. La imposibilidad de acceder a un token o conjunto de tokens para datos confidenciales válidos debe establecerse utilizando pruebas y medidas aceptadas en la industria por parte de expertos apropiados independientes del proveedor de servicios o la solución.

Véase también

Notas

  1. Copia archivada (enlace no disponible) . Consultado el 22 de diciembre de 2018. Archivado desde el original el 26 de enero de 2018. 
  2. Explicación de la tokenización de pagos  . cuadrado. Consultado el 22 de diciembre de 2018. Archivado desde el original el 2 de enero de 2018.
  3. ↑ Tokenización 101 : Comprender los conceptos básicos - WEX Corporate Payments Edge  . WEX Inc. (27 de julio de 2017). Consultado el 22 de diciembre de 2018. Archivado desde el original el 22 de diciembre de 2018.
  4. Categoría: Proyecto OWASP Top Ten - OWASP (enlace descendente) . www.owasp.org. Consultado el 22 de diciembre de 2018. Archivado desde el original el 1 de diciembre de 2019. 
  5. ↑ 1 2 Directrices de tokenización de PCI DSS . www.pcisecuritystandards.org. Consultado el 22 de diciembre de 2018. Archivado desde el original el 10 de noviembre de 2013.
  6. La caída y el ascenso de  la tokenización . Pagos Tarjetas y Móvil (13 de mayo de 2015). Consultado el 23 de diciembre de 2018. Archivado desde el original el 23 de julio de 2016.
  7. Personal de TrustCommerce. ¿De dónde vino la tokenización?  (Inglés) . comercio de confianza Consultado el 22 de diciembre de 2018. Archivado desde el original el 23 de diciembre de 2018.
  8. TrustCommerce (enlace descendente) . web.archive.org (5 de abril de 2001). Consultado el 22 de diciembre de 2018. Archivado desde el original el 5 de abril de 2001. 
  9. Shift4 Corporation publica el libro blanco sobre tokenización en profundidad | Reuters (enlace descendente) . web.archive.org (13 de marzo de 2014). Consultado el 22 de diciembre de 2018. Archivado desde el original el 13 de marzo de 2014. 
  10. Minorista de Internet | Comercio electrónico | Venta al por menor en línea | 500 mejores | Ventas en línea  (inglés) . Digital Commerce 360. Consultado el 22 de diciembre de 2018. Archivado desde el original el 24 de enero de 2017.
  11. Corporación Shift4. Pasarela de pago con tarjeta de crédito: procesamiento rápido, confiable y seguro de tarjetas de crédito, débito, cheques y tarjetas de regalo con tokenización | Shift4  (inglés) . https://www.shift4.com/.+ Consultado el 22 de diciembre de 2018. Archivado desde el original el 6 de noviembre de 2018.
  12. https://philadelphiafed.org/-/media/consumer-finance-institute/payment-cards-center/publications/discussion-papers/2010/D-2010-January-Heartland-Payment-Systems.pdf
  13. Voltage, socio de Ingencio en la plataforma de cifrado de datos . eSEMANA. Recuperado: 22 de diciembre de 2018.
  14. ¿Qué es la tokenización frente al cifrado? Beneficios y casos de uso  explicados . Cielo alto. Consultado el 24 de diciembre de 2018. Archivado desde el original el 25 de diciembre de 2018.
  15. Tokenización vs Cifrado: Comprender la  diferencia . Liaison Technologies (3 de febrero de 2017). Consultado el 24 de diciembre de 2018. Archivado desde el original el 25 de diciembre de 2018.
  16. Fuente . Consultado el 24 de diciembre de 2018. Archivado desde el original el 25 de diciembre de 2018.
  17. Tokenización: ¿Las diferencias entre tokenización y cifrado? | . Consultado el 24 de diciembre de 2018. Archivado desde el original el 25 de diciembre de 2018.
  18. ↑ Desmitificando la tokenización : pago frente a tokens de seguridad  . conectar en todo el mundo. Recuperado: 24 de diciembre de 2018.
  19. ¿Cómo sabes si un RNG está funcionando?  (Inglés) . Algunas reflexiones sobre ingeniería criptográfica (19 de marzo de 2014). Consultado el 22 de diciembre de 2018. Archivado desde el original el 22 de diciembre de 2018.
  20. Jaikumar Vijayán. Los bancos presionan por el estándar de tokenización para asegurar los pagos con tarjeta de crédito  . Computerworld (12 de febrero de 2014). Consultado el 22 de diciembre de 2018. Archivado desde el original el 27 de julio de 2018.
  21. Software de seguridad y cifrado de datos  . Microenfoque. Consultado el 22 de diciembre de 2018. Archivado desde el original el 21 de diciembre de 2018.
  22. American Express presenta nuevos servicios de seguridad de pagos móviles y en línea (enlace no disponible) . web.archive.org (4 de noviembre de 2014). Consultado el 22 de diciembre de 2018. Archivado desde el original el 4 de noviembre de 2014. 
  23. Sitio oficial del Consejo de normas de seguridad de PCI: Verifique el cumplimiento de PCI, descargue la seguridad de datos y las normas de seguridad de tarjetas de crédito . www.pcisecuritystandards.org. Consultado el 22 de diciembre de 2018. Archivado desde el original el 10 de diciembre de 2015.
  24. ↑ Tokenización de pago : Tokenización de datos compatible con PCI DSS  . aleta azul Consultado el 22 de diciembre de 2018. Archivado desde el original el 22 de diciembre de 2018.
  25. Wayback Machine (enlace descendente) . web.archive.org (31 de julio de 2009). Consultado el 22 de diciembre de 2018. Archivado desde el original el 31 de julio de 2009. 
  26. Fuente . Consultado el 22 de diciembre de 2018. Archivado desde el original el 7 de abril de 2014.
  27. Acceso denegado . usa.visa.com. Consultado el 22 de diciembre de 2018. Archivado desde el original el 24 de octubre de 2020.
  28. Tokenización de  pagos . Compañía EMV Consultado el 22 de diciembre de 2018. Archivado desde el original el 25 de diciembre de 2018.
  29. Recomendación para modos de operación de cifrado en bloque: métodos para el cifrado con preservación del formato . nvlpubs.nist.gov. Consultado el 22 de diciembre de 2018. Archivado desde el original el 25 de junio de 2019.
  30. Guía de criptografía - OWASP (enlace descendente) . www.owasp.org. Consultado el 22 de diciembre de 2018. Archivado desde el original el 7 de abril de 2014.