La tokenizzazione è una forma di protezione granulare dei dati, che sostituisce dati sensibili con un equivalente non sensibile, indicato come token, che non ha alcun significato o valore estrinseco o sfruttabile. Le informazioni sostitutive non sensibili sono chiamate token.
In altri termini, la tokenizzazione sostituisce i dati sensibili con un segnaposto irreversibile e non sensibile (detto token) e archivia in modo sicuro i dati sensibili originali al di fuori del loro ambiente originale.
La tokenizzazione è popolare tra le banche e altre istituzioni finanziarie, in quanto consente a queste entità di mantenere al sicuro i dati sensibili, come numeri di carte di credito e numeri di conto bancario, pur essendo in grado di archiviare e utilizzare le informazioni.
I token possono essere creati in vari modi, ad esempio:
- Una funzione crittografica matematicamente reversibile con una chiave.
- Una funzione non reversibile, ad esempio una funzione hash.
- Una funzione indice o un numero generato casualmente.
Esistono due tipi di soluzioni di tokenizzazione: quelle con vaults di token e quelle senza. La prima utilizza un database centralizzato sicuro, o “vault” di tokenizzazione, per archiviare una mappatura tra i dati sensibili tokenizzati e il token corrispondente.
D’altra parte, la tokenizzazione senza vault, genera il token esclusivamente tramite un algoritmo, quindi quando è richiesta la detokenizzazione, il token può essere utilizzato per determinare il valore originale senza bisogno di un vault in cui cercarlo. Negli ultimi anni, la tokenizzazione vaultless è diventata il metodo preferito, in quanto offre una serie di vantaggi significativi come:
- Latenza ridotta
- Riduzione dell’ambito e dei costi di conformità (PCI DSS, GDPR)
- Sicurezza notevolmente migliorata rispetto ai vault di token
- Ingombro di storage dei dati sensibili notevolmente ridotto
- Poiché non esiste un database da gestire, i costi e le risorse ridotti associati al mantenimento della conformità
- Richiede pochi o nessun aggiornamento architetturale e funziona bene con i sistemi legacy
I token possono anche essere suddivisi per:
- Token monouso: utilizzati per rappresentare una singola transazione ed elaborano molto più velocemente rispetto ai token multiuso. Tuttavia, poiché ogni transazione genera un nuovo token, richiede una capacità di archiviazione significativa.
- Token multiuso: rappresenta sempre lo stesso elemento di dati, ad esempio un numero di carta di credito, e può essere utilizzato per più transazioni.
La tokenizzazione rispetto alla crittografia
Tecnicamente parlando, la tokenizzazione è una forma di crittografia. Tuttavia, mentre la tokenizzazione sostituisce un’informazione con un insieme casuale e non correlato di caratteri chiamato token, i metodi di crittografia tradizionali utilizzano un algoritmo per codificare i dati sensibili. Sebbene non sia possibile estrarre dati sensibili da un token, i dati crittografati possono essere decrittografati e letti utilizzando una chiave di crittografia.
Dove e quando applicare la tokenizzazione rispetto alla crittografia può essere incredibilmente sfumato: molte organizzazioni utilizzano una combinazione di entrambi. Mentre la crittografia è più facile da scalare e sincronizzare, i token tendono a richiedere molte meno risorse computazionali per l’elaborazione.
Inoltre, poiché la crittografia è reversibile, i dati crittografati sono ancora considerati dati sensibili da alcuni organismi di regolamentazione. I token, d’altra parte, non hanno alcuna relazione matematica con i dati reali che rappresentano e, se violati, non possono ricondurre ai valori dei dati reali. Pertanto, i token non sono considerati dati sensibili e non sono soggetti agli stessi standard normativi dei dati crittografati.