Facturaciones
Seguridad

Tokenización: cinco cosas que los CIO deben saber

La encriptación deja los datos vulnerables si los autores del robo consiguen la clave. Pero la "tokenización" va más allá, al sustituye los datos protegidos por un marcador de posición digital que las aplicaciones utilizan simplemente como lo harían con números de tarjetas de crédito o seguridad social.

En caso de resultar hackeados, con la tokenización, los datos resultarían inútiles para los ciberdelincuentes. “Cualquier negocio que maneje números de tarjetas debería plantearse el uso de la tokenización”, asegura Lucas Zaichkkowsky, especialista en conformidad de Mercury Payment Systems.

Los tokens pueden tener la misma apariencia que los datos heredados. Existe bastante flexibilidad en las posibles formas de creación de los tokens. Pueden tener la misma estructura de datos que los números de tarjetas de crédito o seguridad social que realmente se almacenen en la empresa, haciendo así más sencilla la reprogramación de aplicaciones heredadas para que puedan manejar los tokens.

Para muchas empresas, la tokenización reduce la carga que supone la conformidad con las normas PCI para el procesamiento de pagos. Además, otra de sus ventajas es que si el negocio funciona apoyándose en un tercer proveedor, no siendo el mismo quien almacena los datos de las tarjetas, puede evitarse el complejo cuestionario PCI Self-Assessment Questionnaire D y optar por el Questionnaire C, más fácil de completar. No obstante, conviene tener en cuenta que si se tokeniza sobre un servidor sobre la propia red de la empresa, los datos continuarán residiendo en ésta, por lo que será necesario cumplimentar el Questionario D.

Cuidado con el despliegue
Por lo que se refiere al despliegue, debe hacerse concienzudamente. Si se sustituyen números de tarjetas de pago por tokens, pueden descubrirse sitos inesperados donde tales números son utilizados. Por ejemplo, si se emite un nuevo token cada vez que alguien maneja un número de tarjeta, ello puede generar confusión en los sistemas de detección de fraude corporativos. Por elaborar un mapa detallado y precios de todas las aplicaciones que utilizan los datos antes de tokenizarlos.

Existen distintas opciones de tokenización en el mercado. Akamai, por ejemplo, ofrece un servicio que impide a los usuarios web introducir sus números de tarjetas de crédito en el sistema del comercio y que se comercializa con una tarifa plana. Probablemente podrán encontrarse alternativas de tokenización como servicio ofrecidas por suministradores de procesamiento de pagos con un coste de unos 10 centavos de dólar por transacción. Sin embargo, eso puede atar al cliente al sistema del proveedor.

La empresa también puede optar por gestionar sus propios servidores de tokenización, pero algunos proveedores cobran por registro, por lo que esta alternativa probablemente tendrá un mayor coste económico.



TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?