"Токенизация" - это прием, при котором номер кредитной карты заменяется на "токен", т.е схожий по характеристикам номер, получаемый путем математического преобразования. Получить номер карты имея только токен невозможно, но эта технология подразумевает наличие центральной базы данных, в которой хранятся сведения о соответствии токена номеру карты. Для чего это нужно ? В контексте PCI DSS это позволяет уменьшить область действия требований стандарта, в которую включаются все системы, обрабатывающие номера кредитных карт. Если вместо номера токен, то такая система может не рассматриваться как подпадающая под требования PCI DSS.
Технология хоть и обсуждается уже несколько лет все еще является довольно новой и, на мой взгляд, довольно перспективной. Причем ее применение возможно не только в контексте требований стандарта, но и в контексте наболевшего уже вопроса защиты персональных данных. Замена идентификационных данных на токен может сделать всю базу данных обезличенной (я знаю несколько компаний, в которых такую схему удалось с успехом реализовать).
И вот на днях PCI Council выпустил документ PCI DSS Tokenization Guide. Документ описывает общую концепцию, но тем не менее стоит того, чтобы его прочитать.
Математическое преобразование это лишь один из способов получить токен. Вместо этого, токен может быть и случайным значением, и порядковым номером, соответствие которого номеру карты установлено в центральной базе.
ОтветитьУдалить