Kunden nutzen Zahlungskarten täglich für Transaktionen, die in einer sicheren Umgebung durchgeführt werden müssen. Die bei einer Transaktion mit einem Kunden verwendeten Daten sind für Angreifer äußerst wertvoll und daher ein Ziel für externe Angriffe. Laut PCI DSS Um die Compliance zu gewährleisten, sollten die Daten des Karteninhabers sicher aufbewahrt werden, was durch Tokenisierung erreicht werden kann. Tokenisierung ist der Prozess, sensible Daten durch nicht-sensible Daten zu ersetzen. Beispiel: Wenn ein Kunde mit einer Zahlungskarte bezahlt, sollte die Kartennummer nicht lesbar sein. Wenn die Kartennummer xxxyyyzzzz lautet, wird sie durch Tokenisierung in apxcladajedpo9iiuwqdw geändert.
Zu den Arten
Für die Tokenisierung von Informationen stehen zwei Optionen zur Auswahl: Tresor- und Tresorlose Tokenisierung.
Tresor-Tokenisierung: Bei der Vault-Tokenisierung verwalten wir eine sichere Datenbank, die sogenannte Tokenization Vault-Datenbank, in der wir die sensiblen Daten sowie die entsprechenden nicht-sensiblen Daten speichern. Diese Tabelle mit sensiblen und nicht-sensiblen Daten kann zum Detokenisieren der neu tokenisierten Daten verwendet werden.
Detokenisierung ist der umgekehrte Prozess der Tokenisierung, bei dem wir unsere Originaldaten aus den tokenisierten Daten im Tresor abrufen. Mit anderen Worten: Wir ersetzen nicht sensible Daten durch sensible Daten, um die Originaldaten zu erhalten.
So funktioniert die Vault-Tokenisierung: –
1. Die Organisation übergibt ihre sensiblen Daten an den Tokenisierungsserver des Tresors.
2. Der Tresor-Tokenisierungsserver konvertiert die Originaldaten in nicht vertrauliche Daten und speichert ihre Zuordnung in der Tresordatenbank.
3. Und die nicht vertraulichen Daten werden dann an die Organisation zurückgesendet.
Hinweis: – Die Organisation speichert immer nicht vertrauliche Daten.
4. Um PCI DSS einzuhalten, ist eine Zugriffskontrolle erforderlich. Wenn Originaldaten benötigt werden, erhält die von der Organisation autorisierte Anwendung die nicht vertraulichen Daten von der Organisation.
5. Die Anwendung übergibt die nicht vertraulichen Informationen an den Tresor-Tokenisierungsserver, der sie mithilfe der Tresordatenbank in die Originaldaten umwandelt.
6. Die von der Organisation autorisierte Anwendung verfügt nun über die Originaldaten.
Nachteile der Vault-Tokenisierung: – Mit zunehmender Datenmenge vergrößert sich auch die Datenbank des Tresors, was wiederum die Verarbeitungszeit für die Detokenisierung erhöht. Dies verlängert auch den Implementierungsprozess der Detokenisierung.
Um die Nachteile der Tresor-Tokenisierung zu überwinden, kommt die Tresor-lose Tokenisierung ins Spiel.
Tresorlose Tokenisierung ist effizienter und sicherer als die Tresor-Tokenisierung, da keine Datenbank verwaltet wird, sondern sichere kryptografische Geräte verwendet werden.
Sichere kryptografische Geräte verwenden standardbasierte Algorithmen, um sensible Daten in nicht-sensible Daten umzuwandeln oder Token zu generieren. Zur Detokenisierung können diese Token verwendet werden, um Originaldaten zu generieren, ohne dass eine Tokenisierungs-Vault-Datenbank erforderlich ist.
Fazit
Einhaltung PCI DSS Standards erfordern robuste Maßnahmen wie die Tokenisierung, bei der sensible Daten durch nicht sensible Daten ersetzt werden. Während bei der Vault-Tokenisierung Daten und entsprechende Token in einer sicheren Datenbank gespeichert werden, bietet die Vaultless-Tokenisierung eine effizientere und sicherere Alternative, bei der kryptografische Geräte ohne Tokenisierungs-Vault-Datenbank verwendet werden. Da Unternehmen der Datensicherheit Priorität einräumen, gewährleistet die Implementierung von Tokenisierungsmethoden den Schutz sensibler Informationen bei Zahlungskartentransaktionen.
Mit einem starken Fokus auf Verschlüsselungsberatungsdienste und jahrzehntelanger Beratungskompetenz bietet Encryption Consulting eine Reihe von kryptografischen Lösungen. Darunter PKI als Service (PKIaaS) zeichnet sich durch den Rund-um-die-Uhr-Support für Kunden bei allen Problemen mit ihrer PKI-Umgebung aus. Dieser umfassende Ansatz erhöht die Sicherheit und stellt sicher, dass Unternehmen gegen mögliche Fehlkonfigurationen ihrer Verschlüsselungs-Setups gewappnet bleiben.