令牌化
数据令牌化替换代理数据(令牌)来代替需要保护的数据
存在多种生成令牌和保护整个系统的方法;但与加密不同,不存在正式的数据令牌化标准。一种常见的方法是部署集中式数据令牌化服务,该服务可生成令牌、执行替换并存储令牌和相应的原始数据,从而在应用程序需要使用原始数据时去令牌化(用原始值替换令牌)。 其他方法通过使用与应用程序共享的秘密的、预生成的查找表,避免了对中央数据令牌化服务和存储库的需求。
挑战
保护密钥
PCI 令牌化指南规定:“必须根据支付卡行业数据安全标准的要求管理和保护加密密钥...因此,用于令牌生成和去令牌化的加密密钥不应提供给安全令牌化系统以外的任何应用程序、系统、用户或进程。”
维护数据格式
需要保护严格格式化数据的应用程序通常采用令牌化。 对于这些类型的应用程序,数据令牌化之类的替代方法非常适合。
监管合规
令牌化过程有助于缩小合规性审计的范围,因为例如,在销售点终端采集到客户信用卡号码后,会立即将其兑换为令牌,由于该数据不再包含实际信用卡号码,之后该数据将不再处于合规性范围内。默认情况下,数据保持令牌化形式,因此任何无法访问去令牌化服务的系统都有可能不在范围内。 组织若要利用缩小范围的可能性,需要遵循 PCI 委员会发布的有关令牌化部署的指南。
解决方案
提供数据保护
Entrust 的产品和服务可帮助实现有效的、高度安全的令牌化解决方案,以保护客户信息、缩小监管合规范围并控制成本。
正如在加密系统中一样,Entrust nShield™ 硬件安全模块 (HSM) 可在确保足够安全级别方面发挥重要作用。由于令牌化系统依赖于加密技术的使用,HSM 可以保护令牌存储和令牌化过程,并提高令牌生成的性能。
为加密处理创建受信任的平台
nShield HSM 创建了一个受信任的环境,可以在其中生成、存储和管理令牌,并安全可靠地执行令牌化/去令牌化。该受信任的层克服了这样一个事实,即应用程序通常在其中执行的纯粹基于软件的环境本身并不充分受信任可满足令牌化系统的需求。
实现快速部署和无缝集成
无论您是使用自己内部开发的软件、第三方商业令牌化产品还是共享服务来令牌化帐户数据,nShield HSM 都可以发挥重要作用。这些设备已经通过认证,可与许多领先的令牌化产品集成,从而确保快速部署并与现有系统无缝集成。
优势
缩小合规性范围
部署高度安全的令牌化解决方案以保护帐户数据并降低合规性成本。利用审计师推荐的行业最佳实践和支付卡行业数据安全标准指南来保护令牌化系统的完整性。
加快部署
Entrust nShield HSM 已通过预审资格,可与领先供应商的产品进行集成。
高性能和灵活性
专门构建的加密卸载功能使人们能够加速令牌的生成,特别是在令牌值与源数据加密相关的情况下。性能等级和 HSM 外形规格的选择使人们能够准确部署所需的内容,并根据需求的变化轻松升级。
资源中心
解决方案简介: 增强的令牌化安全性
令牌化解决方案可降低数据泄露风险,同时允许企业保持现有流程。 Entrust nShield HSM 与领先的令牌化解决方案集成,以增强数据安全性和合规性。