Tokenización
La tokenización es el proceso de reemplazar datos confidenciales con símbolos de identificación únicos que retienen toda la información esencial sobre los datos sin comprometer su seguridad. La tokenización, que busca minimizar la cantidad de datos que una empresa necesita tener a mano, se ha convertido en una forma popular para que las pequeñas y medianas empresas refuercen la seguridad de las transacciones de tarjetas de crédito y de comercio electrónico, al tiempo que minimizan el costo y la complejidad del cumplimiento de las normas de la industria y las regulaciones gubernamentales.
Ejemplos de tokenización
La tecnología de tokenización puede, en teoría, usarse con datos confidenciales de todo tipo, incluidas transacciones bancarias, registros médicos, antecedentes penales, información de licencias de conducir, solicitudes de préstamos, negociación de acciones y registro de votantes. En su mayor parte, cualquier sistema que un sustituto pueda usar como sustituto de información confidencial puede beneficiarse de la tokenización.
La tokenización se usa a menudo para proteger datos de tarjetas de crédito, información de cuentas bancarias y otros datos confidenciales manejados por un procesador de pagos. Los casos de uso de procesamiento de pagos que tokenizan información confidencial de tarjetas de crédito incluyen:
- carteras móviles como Android Pay y Apple Pay;
- sitios de comercio electrónico; y
- empresas que mantienen archivada la tarjeta de un cliente.
Cómo funciona la tokenización
La tokenización sustituye la información sensible con información equivalente no sensible. La información de reemplazo no sensible se llama token.
Los tokens se pueden crear de varias formas:
- Usando una función criptográfica matemáticamente reversible con una clave.
- Usando una función no reversible como una función hash.
- Usando una función de índice o un número generado aleatoriamente.
Como resultado, el token se convierte en la información expuesta y la información confidencial que representa el token se almacena de forma segura en un servidor centralizado conocido como bóveda de tokens. La bóveda de tokens es el único lugar donde la información original se puede asignar a su token correspondiente.
Algunas tokenizaciones no tienen bóveda. En lugar de almacenar la información confidencial en una base de datos segura, los tokens sin bóveda se almacenan mediante un algoritmo. Si el token es reversible, la información confidencial original generalmente no se almacena en una bóveda.
Aquí hay un ejemplo del mundo real de cómo funciona la tokenización con una bóveda de tokens.
- Un cliente proporciona sus datos de pago en un sistema de punto de venta (POS) o en un formulario de pago en línea.
- Los detalles, o datos, se sustituyen por un token generado aleatoriamente, que en la mayoría de los casos es generado por la pasarela de pago del comerciante.
- Luego, la información tokenizada se cifra y se envía a un procesador de pagos. La información de pago confidencial original se almacena en una bóveda de tokens en la pasarela de pago del comerciante. Este es el único lugar donde se puede asignar un token a la información que representa.
- El procesador de pagos vuelve a cifrar la información tokenizada antes de enviarla para su verificación final.
Tokenización y PCI DSS
Los estándares de la industria de tarjetas de pago (PCI) no permiten que los números de tarjetas de crédito se almacenen en el terminal POS de un minorista o en sus bases de datos después de una transacción. Para cumplir con PCI, los comerciantes deben instalar costosos sistemas de cifrado de extremo a extremo o subcontratar su procesamiento de pagos a un proveedor de servicios que brinde una opción de tokenización. El proveedor de servicios maneja la emisión del valor del token y tiene la responsabilidad de mantener bloqueados los datos del titular de la tarjeta.
En tal escenario, el proveedor de servicios emite al comerciante un controlador para el sistema POS que convierte los números de tarjetas de crédito en valores generados aleatoriamente (tokens). Dado que el token no es un número de cuenta principal (PAN), no se puede usar fuera del contexto de una transacción única con un comerciante específico. En una transacción con tarjeta de crédito, por ejemplo, el token generalmente contiene solo los últimos cuatro dígitos del número de tarjeta real. El resto del token consta de caracteres alfanuméricos que representan la información del titular de la tarjeta y los datos específicos de la transacción en curso.
Beneficios de la tokenización
La tokenización hace que sea más difícil para los hackers obtener acceso a los datos del titular de la tarjeta, en comparación con los sistemas más antiguos en los que los números de las tarjetas de crédito se almacenaban en bases de datos y se intercambiaban libremente a través de las redes.
Los principales beneficios de la tokenización incluyen los siguientes.
- Es más compatible con los sistemas heredados que el cifrado.
- Es un proceso que consume menos recursos que el cifrado.
- Se reduce el riesgo de las consecuencias de una violación de datos.
- Hace que la industria de pagos sea más conveniente al impulsar nuevas tecnologías como billeteras móviles, pagos con un solo clic y criptomonedas. Esto, a su vez, aumenta la confianza del cliente porque mejora tanto la seguridad, como la conveniencia del servicio de un comerciante.
- Reduce los pasos necesarios para cumplir con las regulaciones PCI DSS para comerciantes.
Historia de la tokenización
La tokenización ha existido desde el comienzo de los primeros sistemas monetarios, en los que las fichas de monedas se han utilizado durante mucho tiempo como reemplazo de monedas y billetes reales. Las fichas de metro y las fichas de casino son ejemplos de esto, ya que sirven como sustitutos del dinero real. Esta es la tokenización física, pero el concepto es el mismo que en la tokenización digital: actuar como sustituto de un activo más valioso.
La tokenización digital comenzó a utilizarse en la década de 1970. En las bases de datos de la época, se usaba para separar ciertos datos sensibles de otros datos que se almacenaban.
Más recientemente, la tokenización se utilizó en la industria de las tarjetas de pago como una forma de proteger los datos confidenciales de los titulares de tarjetas y cumplir con los estándares de la industria. A la organización TrustCommerce se le atribuye la creación del concepto de tokenización para proteger los datos de las tarjetas de pago en 2001.
Tipos de tokens
Hay numerosas formas de clasificar los tokens y no existe un método único para clasificarlos. Sin embargo, existen tres tipos principales de tokens según lo definido por la Comisión de Bolsa y Valores (SEC) y la Autoridad de Supervisión del Mercado Financiero Suizo (FINMA). Los tipos difieren según su relación con el activo del mundo real que representan e incluyen lo siguiente:
- Token de seguridad/activos. Estos son tokens que prometen un retorno positivo de una inversión. Estos son análogos a los bonos y acciones, económicamente.
- Token de utilidad. Estos se crean para actuar como algo más que un medio de pago. Por ejemplo, un token de utilidad puede dar acceso directo a un producto o plataforma, o como un descuento en futuros bienes y servicios ofrecidos por la plataforma. Agrega valor al funcionamiento de un producto.
- Moneda/Token de pago. Estos se crean únicamente como un medio de pago de bienes y servicios externos a la plataforma en la que existen.
En un contexto de pago, también existe una diferencia importante entre los tokens de alto y bajo valor. Los tokens de alto valor actúan como sustitutos de los números de cuenta principales en una transacción y se utilizan para completar la transacción. Los tokens de bajo valor también actúan como sustitutos de los números de cuenta principales, pero no se pueden usar para completar una transacción.
Tokenización frente a cifrado
La tokenización y el cifrado digitales son dos métodos criptográficos diferentes que se utilizan para la seguridad de los datos. La principal diferencia entre los dos es que la tokenización no cambia la longitud o el tipo de los datos que se protegen, mientras que el cifrado cambia tanto la longitud como el tipo de datos.
Esto hace que el cifrado sea ilegible para cualquiera que no tenga una clave, incluso cuando pueden ver el mensaje cifrado. La tokenización no usa una clave de esta manera; no es matemáticamente reversible con una clave de descifrado. La tokenización utiliza información no descifrable para representar datos secretos. El cifrado se puede descifrar con una clave. El cifrado ha sido durante mucho tiempo el método preferido de seguridad de los datos, pero ha habido un cambio reciente hacia la tokenización como la opción más rentable y segura. Sin embargo, el cifrado y la tokenización se utilizan a menudo en conjunto.
Tokenización y blockchain
La tokenización en blockchain se refiere a la emisión de un token de blockchain, también conocido como token de seguridad o activo. Los tokens de blockchain son representaciones digitales de activos del mundo real. Se puede decir que un activo del mundo real está tokenizado cuando se representa digitalmente como criptomoneda.
En los modelos económicos tradicionales y centralizados, las grandes instituciones financieras y los bancos son responsables de certificar la integridad del libro mayor de transacciones. En una economía basada en blockchain o economía de fichas, esta responsabilidad y poder se transfiere a las personas, ya que la integridad de las transacciones se verifica mediante criptografía a nivel individual en lugar de centralizado.
Esto es posible porque los tokens de criptomonedas están vinculados entre sí en una cadena de bloques o grupo de activos digitales, lo que permite que el activo digital se asigne al activo del mundo real. Las cadenas de bloques proporcionan un registro de transacciones inmutable y con sello de tiempo. Cada nuevo conjunto de transacciones, o bloques en la cadena, depende de los otros en la cadena que se van a verificar. Por lo tanto, un activo tokenizado en una cadena de bloques eventualmente puede rastrearse hasta el activo del mundo real que representa por aquellos autorizados para hacerlo –sin dejar de ser seguro– porque las transacciones deben ser verificadas por cada bloque de la cadena.