2008年是通过数据泄露泄露敏感信息的数量创纪录的一年。大部分盗取数据是支付卡数据,这使得盗贼使用数以百万计的信贷和借记卡欺诈。有一个叫做标记化新技术,用于保护敏感数据提供了巨大的承诺。如果您的组织不得不遵守支付卡行业(PCI),你需要了解符号化以及它如何可以帮助你实现和维护PCI合规性,同时降低成本这样做。
数据丢失是一个巨大的问题,为各种规模的组织,并在所有行业。2008年,Verizon的业务风险调查队调查,其中超过2.85亿条记录被泄露90个漏洞。大多数的这些记录涉及敏感的支付卡数据。谁偷记录的盗贼然后转身出售或用于欺诈目的的信息 - 换句话说,从我们的信用卡和借记卡账户窃取钱财。
这些都只是一些违规的,我们知道,使他们的冰山一角。还有更多的情况下,每天都在发生涉及敏感信息,如社会安全号码,客户的账户信息,知识产权,认证证书,企业财务数据等等。
许多企业已经转向数据加密,以保护敏感数据。而对数据进行加密肯定是在纯文本形式使用,移动和存储它的改进,加密有它的缺点。它可以是昂贵和繁琐的按键管理加密和解密的信息,尤其是如果该组织希望在众多应用中使用的数据。例如,零售企业可能需要使用客户支付卡数据,以提供积分奖励或分析购买趋势。每个应用程序的需要的手段对数据进行解密,而它在使用和以后重新加密。
现在有一个相对较新的技术,叫做标记化是一场凝聚来自有很多数据泄露事件失去兴趣的组织。像加密,标记化替换字符的替换字符串称为令牌的敏感数据。然而,令牌不密文;相反,它是字符的随机生成的字符串。如果令牌数据丢失或被盗,它没有任何意义,谁可以查看它。它只能被“解锁”被授权方谁有权访问令牌服务器来揭示原始数据。
下面是符号化是如何工作的一个简单的概述。我将使用支付卡数据的例子,因为这是最频繁使用的今天标记化。
某商家有销售系统,客户刷自己的信用卡或借记卡进行付款交易点。中从在卡背面的磁条上的信息是被称为主账号(PAN)16位数字。谁可以访问该PAN小偷有足够的信息冒用该卡的数据。的PAN(即,持卡人的数据)被发送到其被加密,并放置到一个安全的数据保管库的令牌服务器。令牌生成在商家的存储系统或业务应用来取代PAN数据。如果商家需要再次访问原始持卡人数据 - 比如发行信用卡退款 - 商家授权伸入安全数据保险库再次抬头的PAN。
这里有一个格式保留标记化进程的一个例子。在这个过程中,长度和数据类型被保留,但数据值改变足以混淆数据小偷。
原始数据是1234 56789012 3456,这是一个相当于16位PAN的。分词后,代表人数可能是1234 59244701 3456前4位(“头”)和最后四位数(“尾巴”)保持不变。中间八位数字(以下简称“机构”)随机扰码,足以掩盖真实的数据值。令牌化数是原数的相同的格式,因此可以在商业应用中使用,而无需修改应用程序或保持键对数据进行解码。
这个过程对于商家有几个优点。首先,它需要高度敏感的数据指出,将使用客户数据的业务流程。这降低的可能性,真实数据可以在服务器的或来自应用程序的被窃取关闭。如果窃贼偷切分数据,他不能用它来获取真实的数据,因为他没有被授权访问的安全数据存储库。相反,他结束了一堆,这并不意味着任何东西给他的随机数。
对于那些不得不满足PCI数据安全标准(PCI DSS)公司,以对敏感数据进行存储和业务应用降低了持卡人数据环境,是受PCI合规和评估。实际上,商家可以极大地减少了对PCI合规性和维护费用,如果他不储存或使用纯文本或加密的持卡人数据。已使用的分词用于此目的的一些大型商家已经证明他们可以节省数百万美元的一年。
数据符号化是比较新的,但迎头赶上。我希望在几年之内,将被视为对敏感数据的保护最佳实践。其实,我也不会惊讶地看到PCI DSS的未来版本中包括符号化的要求。有关此良好的洞察力,我建议你阅读文章“符号化”吹捧提高信用卡数据的安全性这里。
下周,我们将探讨一些符号化提供解决方案的公司。