Säkerhetsblogg

Kan tokenization minska omfattningen av PCI audit?

I en inte så nyligen publicerad, men fortfarande aktuell Gartner-rapport Using Tokenization to Reduce PCI compliance Requirements konstaterades det att det är troligt att stora handlare med ett genomsnitt av 100 000 kundkonton lagrar kortdata i egen regi på 10-20 olika platser. Eftersom PCI-standarden kräver att alla system som hanterar kortdata (Cardholder Data Environment) måste granskas, skapar detta rätt vanliga scenario många potentiella sårbarheter eftersom det blir en mängd olika platser som måste granskas, vilket i sin tur kräver mer resurser och tid, vilket i sin tur resulterar i högre kostnader.

Så finns det ett sätt att helt ta bort kortdata från handlarens miljön för att minska omfattningen av en revision?

Svaret på denna fråga är ja, och lösningen är tokenization.

Tokenization ersätter helt enkelt kortdata med en alias vilket är ett värde som genererats slumpmässigt och kallas en token. De känsliga uppgifter finns i en token som cachas i en enda databas. Det är endast de symboliska värdena som lagras lokalt hos en handlare när man använder applikationer eller tjänster. Processen kan sedan vändas när tokendata måste översättas tillbaka till det ursprungliga värdet, det vill säga, de-tokenization ersätter en token med tillhörande klartextvärde.

Tokenization kan göras på flera olika sätt. Det kan göras med in-house-applikationer som används på databaser och andra platser där känsliga data lagras, där tokens själva kan användas i transaktioner. Alternativt kan tokenization att erbjudas som en tjänst där moln tokenization plattformar tillhandahålls. Dessa omvandlar data till tokens och lagrar dem, och man kan även göra token mapping inom handlarens lokala databas.  

Med en tokenization-lösning som är outsourced via en SaaS-modell, så ligger kortdata aldrig i organisationens egna miljö. Det grundläggande syftet med kryptering är fortfarande sann: att skydda känslig data med starka krypteringsalgoritmer där kortdata lagras. Med tokenization görs dock detta på en helt annan nivå – man skyddar kortdata genom att helt ta bort det från ett system. Organisationer behöver inte kryptera information som de inte lagrar, i detta fall tar någon annan hand om det.

Det finns flera möjliga fördelar för organisationer om de väljer tokenization som lösning. Bland annat ger det möjligheten att minska den komplexitet som finns i att hantera och sköta infrastrukturer, i synnerhet krypteringsnycklar. Det är mycket viktigt att komma ihåg att kryptering utan en lämplig nyckelhanteringsprocess är lika med noll, och skulle kunna liknas vid att använda ett starkt lösenord till din bärbara dator men samtidigt ha lösenordet nedskrivet på en post-it lapp alldeles bredvid. Inte optimalt. (Huvudämnet i avsnitt 3 av PCI DSS standarden handlar om krypteringsnycklar och nyckelhanteringsprocessen.)

Det finns några grundläggande skillnader mellan tokenization och kryptering som kan påverka säkerheten. Med tokenization så ligger originaldata helt separat från de genererade tokens, medan kryptering generellt bibehåller en relation till den ursprungliga data i klartext. Säkerheten för krypterad data är även knuten till krypteringsalgoritmer och nycklar som används för att kryptera data, vilket ofta innebär att det finns en fast längd och struktur på output data. Tokens, å andra sidan, kan genereras på många olika sätt, vilket tillåter ändring av output-typ och längd, samt ändring av relationen till det ursprungliga värdet. Dessutom måste man med kryptering ta hänsyn till nyckelhanteringsprocessen, och det krävs mycket arbete, tid och pengar för att uppnå de krav som finns i sektion 3 i PCI DSS-standarden.

Att flytta kortdata ’’off-site’’ innebär att man eliminerar dessa utgifter. Ju mindre data på plats, desto mindre blir kostnaderna för att säkerställa att den hålls säkert. Det kommer också att minska omfattningen av ett företags PCI DSS revision, eftersom att organisationen inte längre lagrar kortdata.  

Slutsatsen blir att ’’om du inte har ett stort affärsbehov av att lagra kortdata (CHD), gör det inte’’. Jag vet att lagring av PAN (Primary Account Number) kan tyckas göra livet lättare för vissa företag, kanske för att ni gör många återbetalningar eller behöver lagra kortuppgifter för återkommande kunder. Nackdelen är att processen med att elektroniskt lagra PAN medför en massa krav.

Så om du absolut måste lagra PAN är mitt råd – överväg att använda en alternativ metod.

Tokenization ÄR EN BRA lösning.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com