O que é tokenização? Definição, Trabalho e Aplicações

A tokenização oculta e protege um conjunto de dados substituindo elementos confidenciais por elementos aleatórios e não confidenciais.

  • A tokenização é o processo de ocultar o conteúdo de um conjunto de dados, substituindo elementos confidenciais ou privados por uma série de elementos não confidenciais gerados aleatoriamente (chamados de token).
  • A tokenização está ganhando popularidade para fins de segurança de dados nos setores de inteligência de negócios, fintech e comércio eletrônico, entre outros.
  • Ao longo do processo, o link entre o token e os valores reais não pode sofrer engenharia reversa. Este artigo explica o significado de tokenização e seus usos.

O que é tokenização?

A tokenização é definida como o processo de ocultar o conteúdo de um conjunto de dados, substituindo elementos confidenciais ou privados por uma série de elementos não confidenciais gerados aleatoriamente (chamados de token), de modo que o vínculo entre os valores do token e os valores reais não possa ser revertido.

A tokenização floresceu desde o início dos primeiros sistemas financeiros, nos quais os tokens de moedas substituíram as moedas ou notas reais. Como eles funcionam como substitutos do dinheiro, os tokens de metrô ou tokens de cassino são exemplos disso. Este é um exemplo de tokenização tangível, mas o objetivo é idêntico à tokenização digital: servir de proxy para um objeto mais valorizado.

O uso de tokenização digital remonta há década de 1970. Foi utilizado nos arquivos de dados da época para isolar informações confidenciais de outros dados registrados.

Recentemente, a tokenização encontrou aplicações no setor de cartões de crédito e débito para proteger os dados críticos do titular do cartão e cumprir as normas do setor. Em 2001, a TrustCommerce foi atribuído ao desenvolvimento de tokenização para proteger os dados do cartão de pagamento.

A tokenização substitui o material confidencial por identificadores exclusivos que mantêm todas as informações críticas sem comprometer a segurança. O objetivo é reduzir os dados que uma empresa deve manter em mãos.

Consequentemente, tornou-se um método popular para pequenas e médias empresas aumentarem a segurança das informações do cartão e das transações de comércio eletrônico. Além disso, reduz as despesas e a dificuldade de conformidade com as melhores práticas do setor e regulamentações governamentais.

Curiosamente, a tecnologia não se limita a dados financeiros. Teoricamente, pode-se aplicar tecnologias de tokenização a todos os tipos de dados confidenciais, como transações financeiras, registros de saúde, históricos criminais, detalhes do motorista do veículo, documentos de empréstimo, negociação de ações e registro eleitoral. A tokenização pode melhorar qualquer sistema que um substituto emprega como substituto de material confidencial.

Tipos de tokenização

Tokens e tokenização podem ser de vários tipos:

  • Tokenização sem cofre: A tokenização sem cofre emprega hardware criptográfico protegido com algoritmos especificados com base em padrões de conversão para facilitar a troca de informações confidenciais em ativos não confidenciais de maneira segura. Pode-se armazenar esses tokens sem um banco de dados. Discutiremos isso mais adiante na seção seguinte.
  • Tokenização de cofre: Este é o tipo de tokenização usado para processamento de pagamento convencional, que exige que as organizações mantenham um banco de dados confidencial. Esse repositório seguro é conhecido como cofre, cujo objetivo é manter informações confidenciais e não confidenciais.
  • Tokenização em NLP: O campo do processamento de linguagem natural (NLP) compreende a tokenização como uma de suas operações mais fundamentais. Nesse sentido, a tokenização divide um texto em unidades menores chamadas tokens para os bots compreenderem a linguagem natural adequadamente.
  • Tokenização baseada em blockchain: Essa estratégia distribui a propriedade de um determinado ativo em vários tokens. Tokens não fungíveis (NFTs) que funcionam como “ações” podem ser usados ​​para tokenização em uma blockchain. No entanto, a tokenização também pode abranger tokens fungíveis com um valor específico de ativo.
  • Tokenização de plataforma: A tokenização de um blockchain permite o desenvolvimento de aplicativos descentralizados. Também conhecido como tokenização de plataforma, este é um processo no qual a rede blockchain oferece segurança e suporte transacional como base.
  • Tokenização NFT: Blockchain NFTs estão entre as tokenizações mais proeminentes atualmente. Os tokens não fungíveis contêm informações digitais que representam ativos especializados e de alto valor.
  • Tokenização de governança: Esta forma de tokenização é projetada para sistemas de votação baseados em blockchain. A tokenização de governança permite um processo de tomada de decisão mais eficiente usando protocolos descentralizados, pois todas as partes interessadas podem votar, debater e participar equitativamente na cadeia.
  • Tokenização de utilidade: usando um protocolo específico, os tokens de utilidade fornecem acesso a diferentes serviços. Não há nenhuma produção de token de investimento direto usando tokens de utilidade, e sua atividade de plataforma é benéfica para o crescimento econômico do sistema.

Tokenização reversível x irreversível

O processo de tokenização pode ser irreversível ou reversível. A destokenização permite que tokens reversíveis sejam transformados em seu valor original. Em termos de privacidade, isso é conhecido como pseudonimização. Esses tokens também podem ser classificados como criptográficos ou não criptográficos.

Na criptografia criptográfica, os elementos de dados de texto não criptografado não são retidos; ele preserva apenas a chave de criptografia. Esse tipo de tokenização usa o algoritmo AES de modo FF1 padrão do NIST.

Originalmente, a tokenização não criptográfica significava que os tokens eram gerados aleatoriamente criando um valor e mantendo o texto não criptografado e o token associado em um banco de dados, como era a prática com o serviço TrustCommerce inicial.

A tokenização não criptográfica moderna enfatiza sistemas “sem estado” ou “sem cofre”, usando dados gerados aleatoriamente, concatenados com segurança para construir tokens. Ao contrário da tokenização baseada em banco de dados, esses sistemas podem funcionar independentemente um do outro e se expandir quase indefinidamente, pois não precisam de sincronização além da replicação dos dados originais.

Não é possível transferir tokens irreversíveis de volta ao seu valor inicial. Em termos de privacidade, isso é conhecido como anonimidade. Graças a uma função unidirecional, esses tokens são gerados, permitindo o uso de bits ou fragmentos de dados anônimos para análise de terceiros, dados operacionais em configurações reduzidas, etc.

Como funciona a tokenização?

A tokenização substitui informações confidenciais por equivalentes não confidenciais. As informações de substituição são chamadas de token. Isso pode utilizar qualquer um destes processos:

  • Com uma chave, uma função criptográfica teoricamente reversível.
  • Uma função que não pode ser revertida, como uma função hash.
  • Uma função de índice ou um número produzido aleatoriamente.

Consequentemente, o token se tornará a informação exposta, enquanto os dados confidenciais que o token representa são mantidos com segurança em um servidor centralizado chamado cofre do token. Somente no cofre do token as informações originais podem ser mapeadas de volta para seu token apropriado.

No processamento de pagamentos, a tokenização requer a substituição de um cartão de crédito ou débito, ou os detalhes da conta por um token. Os tokens, por si só, não têm utilidade e não estão associados a nenhuma conta ou pessoa.

O número da conta principal (PAN) de 16 dígitos do cliente é substituído por um ID alfanumérico personalizado gerado aleatoriamente. Esse processo elimina qualquer vínculo entre as transações e o material confidencial, reduzindo o risco de quebra de segurança e tornando-o ideal para transações com cartão de crédito. A tokenização de dados preserva os detalhes do cartão de crédito e da conta bancária em um cofre virtualizado, permitindo que as empresas transmitam dados com segurança por meio de redes de computadores.

Algumas tokenizações, no entanto, não possuem cofre, como mencionamos anteriormente. Em vez de manter os dados confidenciais em um cofre seguro, os tokens sem cofre usam um algoritmo para armazenar as informações. Os dados confidenciais originais normalmente não são armazenados em um cofre se o token for alterável ou reversível. Este método é raramente usado devido aos seus níveis de segurança mais fracos.

Entendendo o funcionamento da tokenização com um exemplo

Quando um varejista ou comerciante processa o cartão de crédito de um cliente, o PAN é substituído por um token. 1111-2222-3333-4444 é substituído por alternativas como Gb&t23d%kl0U.

O comerciante pode usar o token ID para manter os registros do cliente; por exemplo, Gb&t23:%kl0U está associado a Jane Doe. O token posteriormente vai para o processador de pagamento, que destokeniza o ID e verifica o pagamento. A notação para Gb&t23d%kl0U é 1111-2222-3333-4444.

O token é legível exclusivamente pelo processador de pagamento; não tem valor para mais ninguém. Além disso, o token só pode ser usado com esse comerciante específico.

Neste caso, o procedimento de tokenização acontecerá da seguinte forma:

  • Jane Doe insere suas informações de pagamento no terminal de ponto de venda (POS) ou na página de checkout digital.
  • Os detalhes, ou dados como PAN, são substituídos por um token completamente aleatório (ou Gb&t23d%kl0U), que é geralmente produzido pelo gateway de pagamento do comerciante.
  • Os dados tokenizados são subsequentemente transferidos para um processador de pagamento com segurança. As informações de pagamento confidenciais reais são mantidas em um cofre de token no gateway de pagamento do comerciante. Este é o único local para mapear um token e seu valor.
  • Antes de enviar as informações para verificação final, o processador de pagamento criptografa novamente os dados tokenizados.

Tokenização x Criptografia

A tokenização digital e a criptografia são duas técnicas criptográficas distintas relacionadas à segurança de dados. A principal distinção entre tokenização e criptografia é que a primeira não altera a extensão ou a categoria dos dados protegidos, enquanto a criptografia modifica o tamanho e o tipo.

Isso torna a criptografia ilegível sem a chave, mesmo que a mensagem criptografada seja exposta. A tokenização não emprega uma chave dessa maneira; não pode ser revertido matematicamente usando uma chave de descriptografia.

A tokenização utiliza dados que não podem ser descriptografados para simbolizar ou representar dados confidenciais. A criptografia pode ser descriptografada com uma chave. A criptografia tem sido a técnica de proteção de dados preferida há décadas, mas a tokenização surgiu recentemente como a solução mais econômica e segura. No entanto, criptografia e tokenização podem ser usadas em conjunto.

Antes de explorarmos como a tokenização é usada, aqui está uma visão geral das diferenças críticas entre tokenização e criptografia:

1. O processo de mascaramento de dados

Por meio de um algoritmo de criptografia e uma chave, a criptografia converte matematicamente o texto simples em texto cifrado. Em contraste, a tokenização cria valores de token aleatoriamente para texto simples e mantém os mapeamentos em um repositório de dados. Esse banco de dados também pode ser um blockchain.

2. Capacidade de escalar

Usando uma pequena chave de criptografia para decodificar dados, essa técnica pode ser usada para grandes volumes de dados. No entanto, é difícil dimensionar a tokenização e manter com segurança a qualidade e a precisão dos dados à medida que o banco de dados cresce. Por esse motivo, é usado principalmente por grandes organizações e governos.

3. Tipo de dados protegidos

A criptografia é empregada para dados estruturados e não estruturados, incluindo arquivos inteiros. O principal objetivo da tokenização é proteger campos de dados estruturados, como informações de cartão de crédito e números de CPF. É por isso que também se pode usar dados tokenizados para análise de dados.

4. Acesso de terceiros

A criptografia é excelente para comunicar informações confidenciais com outras partes que possuem a chave de criptografia. Não é tão seguro, mas mais apropriado para a transferência de dados. Por outro lado, a tokenização dificulta o intercâmbio de informações por requerer acesso total a um repositório de tokens que mapeia valores de tokens.

5. Preservação do formato dos dados

A vulnerabilidade dos sistemas de criptografia de preservação de formato é uma compensação. Com a tokenização, no entanto, o formulário pode ser preservado sem comprometer o nível de segurança. Isso o torna um método mais sem compromisso de segurança de dados.

6. Localização dos dados

Quando as informações são criptografadas, o documento de origem não criptografado sai da organização. A tokenização é distinta porque os dados originais nunca são transferidos para fora da organização. Isso ajuda a satisfazer critérios regulatórios específicos, particularmente em setores como saúde, serviços financeiros, etc.

7. Pré-requisitos

A tokenização funciona apenas por meio de serviços da Web, e a conectividade de rede é um pré-requisito essencial ao tokenizar dados. Por outro lado, a criptografia pode ser aplicada localmente (ou seja, por meio de uma ferramenta de criptografia instalada localmente) ou como um serviço online. Uma conexão com a Internet não é um pré-requisito para a criptografia.

Usos da tokenização

A tokenização de dados é útil nos seguintes cenários:

1. Proteção contra violações de dados

Os criminosos visam organizações que aceitam cartões de débito e crédito porque as informações de pagamento contêm muitos insights sobre o usuário do cartão. Os hackers visam sistemas vulneráveis ​​que contêm essas informações e depois vendem ou usam os dados roubados para fazer transações fraudulentas.

A tokenização protege as empresas do impacto financeiro prejudicial do roubo de dados. Mesmo em uma violação de dados, informações pessoais cruciais não estarão disponíveis para roubo. A tokenização não pode proteger sua organização de uma violação de dados, mas pode mitigar as repercussões financeiras.

2. Cumprimento das leis de proteção de dados

Dado que os tokens substituem os dados de forma irreversível, o software de tokenização de dados ajuda as empresas a minimizar a quantidade de dados sujeitos a obrigações de conformidade. Por exemplo, a substituição dos dados do número de conta primária (PAN) mantidos na infraestrutura de TI de uma organização por dados tokenizados reduz a pegada de dados, tornando a conformidade com o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) mais simples.

3. Fortalecimento da segurança do comércio eletrônico

Mesmo antes da pandemia global, os pagamentos de comércio eletrônico aumentaram constantemente. Agora, estamos vendo uma mudança significativa em direção às compras online, acompanhada por um aumento exponencial nas vendas. Embora a transição para um ambiente virtual seja inevitável, esse fenômeno introduziu novas preocupações de segurança.

A tokenização está sendo rapidamente usada para combater fraudes no comércio eletrônico e converter números de contas em produtos digitais para limitar seu roubo e uso indevido. A tokenização de cartões de crédito ou débito e informações de contas aumenta a segurança dos dados e os protege de ameaças externas e internas. Como o token não representa as informações reais do cliente, ele não pode ser utilizado fora de uma única transação com um determinado comerciante.

4. Permitindo uma identificação segura, mas conveniente

Bancos, hospitais e entidades governamentais geralmente buscam os quatro dígitos finais de um número de seguro social para verificar a identificação de um indivíduo. O token pode mostrar esses valores enquanto cobre as outras figuras com um “X” ou um asterisco.

5. Construindo a confiança do cliente

Os clientes apreciam um profundo compromisso com a proteção das informações do cliente. Além de evitar o pior caso de vazamento de dados, medidas de segurança sofisticadas, como tokenização, aumentam a confiança do cliente. Os clientes não querem que suas informações financeiras caiam nas mãos de criminosos ou outros agentes de ameaças. Eles são tranquilizados pela tokenização, por ser uma medida de segurança demonstrada e fácil de entender que os clientes também podem apreciar (ao contrário das medidas de back-end).

6. Adicione outra camada aos controles de acesso baseados em função

A tokenização permite que você fortaleça as restrições de acesso baseadas em função a informações confidenciais, evitando a destokenização por usuários sem as credenciais necessárias. A tokenização ajuda a garantir que apenas usuários de dados autorizados possam destokenizar material confidencial quando mantido em um banco de dados centralizado, como uma data warehouse ou data lake.

7. Impulsionando o desenvolvimento de fintech

A tecnologia subjacente da tokenização é parte integrante de muitas de nossas práticas atuais de compra e venda, que dependem fortemente de inovações fintech, como pagamentos digitais.

A tokenização pode facilitar o aumento da popularidade dos pagamentos móveis na loja usando os dispositivos móveis de seus clientes. Quando os consumidores pagam usando uma carteira móvel como Apple Pay ou Google Pay, uma versão tokenizada de suas informações de cartão de crédito é salva em seus telefones. A tokenização é vital para aceitar fintech por tornar os pagamentos mais seguros e melhora a experiência do usuário, seja digital, em smartphones ou no aplicativo.

8. Reduzindo a carga de conformidade e segurança de data lakes e armazéns

Repositórios de dados centralizados, como data lakes ou data warehouses, armazenam informações estruturadas e não estruturadas de várias fontes. Isso dificulta estabelecer controles de proteção de dados de uma perspectiva de conformidade. A tokenização permite que você armazene informações originais de identificação pessoal (PII) longe de data lakes ou armazéns ao inserir informações confidenciais no repositório. Isso reduz as implicações de conformidade e segurança, mesmo antes que os dados cheguem aos sistemas de armazenamento.

9. Suporte a tecnologias diferentes

Em comparação com sistemas anteriores nos quais os detalhes do cartão de crédito eram armazenados em bancos de dados e amplamente compartilhados pelas redes, a tokenização torna mais difícil para os hackers obter os dados do titular do cartão. No entanto, é interoperável com muitas tecnologias históricas e modernas. A criptografia não é tão compatível com sistemas desatualizados quanto a tokenização. Além disso, oferece suporte a tecnologias emergentes, como carteiras móveis, pagamentos com um clique e criptomoedas.

10. Dados mascarados usados ​​para inteligência de negócios

A inteligência de negócios e outras categorias de tarefas analíticas são vitais para praticamente qualquer unidade de negócios, e a análise de dados confidenciais geralmente é essencial. Ao tokenizar esse material, as empresas podem proteger informações confidenciais enquanto permitem que outros aplicativos e processos realizem análises. Por exemplo, é benéfico em análises de saúde (como estudos demográficos) quando pacientes individuais devem permanecer anônimos. Por esse motivo, os analistas de inteligência de negócios devem estar familiarizados com a tokenização.

11. Mitigação do risco relacionado ao fornecedor

Hoje, muitas organizações colaboram com software, fornecedores e provedores de serviços de terceiros que exigem acesso a dados confidenciais. A tokenização diminui a probabilidade de uma violação de dados desencadeada por entidades externas, removendo informações confidenciais de seu ambiente. A tokenização de dados contribui para uma postura de segurança cibernética mais robusta, protegendo dados confidenciais de intrusos hostis e outros intermediários. Também proíbe a exposição não intencional na organização.

Conclusão

A tokenização está rapidamente se tornando um elemento básico em pagamentos digitais e transferências de dados. Um estudo de 2023 da Meticulous Research descobriu que o mercado de tokenização valerá mais de US$ 13 bilhões até 2030. Isso se deve à ampla adoção pelos principais players do setor, incluindo Bluefin e Visa. Essa tecnologia permite que as organizações transfiram e processem dados do usuário com segurança, com implicações para inteligência de negócios, fintech, pesquisa e outros campos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

5 − 2 =

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.