Tokenisatie vs encryptie
Beide beschermen kaartgegevens — maar op heel verschillende manieren, met heel verschillende effecten op uw PCI DSS-bereik. Hier leest u hoe ze zich verhouden, wanneer u welke gebruikt en waarom de sterkste opstellingen beide inzetten.
Twee verschillende manieren om een kaartnummer te beschermen
Tokenisatie
Vervangt het kaartnummer door een betekenisloos token zonder wiskundige relatie met het origineel. De echte gegevens leven alleen in een beveiligde kluis, zodat een gestolen token niet kan worden herleid naar een bruikbare kaart.
- Verwijdert kaartgegevens uit uw systemen
- Verkleint PCI DSS-bereik naar SAQ A
- Token is waardeloos bij een lek
Encryptie
Versleutelt kaartgegevens met een algoritme en een sleutel. Iedereen met de sleutel kan het herleiden naar het oorspronkelijke nummer, dus de bescherming hangt volledig af van het veilig houden van de sleutels — en de gegevens blijven doorgaans in uw omgeving.
- Omkeerbaar met de sleutel
- Beschermt gegevens in rust & in doorvoer
- Sleutels en gegevens blijven vaak in bereik
Tokenisatie vs encryptie
| Criterium | Encryptie | Tokenisatie |
|---|---|---|
| Omkeerbaar | Ja, met de sleutel | Geen wiskundige relatie |
| Waarde bij diefstal | Blootgesteld als sleutel is gelekt | Waardeloos |
| Verwijdert gegevens uit uw systemen | Doorgaans niet | Ja |
| Impact op PCI DSS-bereik | Beperkte verkleining | SAQ D naar SAQ A |
| Het beste voor | Gegevens die u moet bewaren & verwerken | Kaartgegevens die u liever niet opslaat |
| In PCI Proxy | AES-256 binnen de kluis | Overdraagbare kluistokens |
U hoeft niet te kiezen
De sterkste opstellingen gebruiken beide. PCI Proxy tokeniseert kaartgegevens zodat ze uw systemen nooit bereiken — en binnen de kluis worden de echte gegevens beschermd met AES-256-encryptie in rust en TLS in doorvoer. U krijgt bereikverkleining door tokenisatie én sterke cryptografische bescherming van de opgeslagen gegevens, in één Europese PCI DSS Level 1-dienst.
Tokenisatie vs encryptie, beantwoord
01 Wat is het verschil tussen tokenisatie en encryptie?
Encryptie versleutelt kaartgegevens met een algoritme en een sleutel, zodat iedereen met de sleutel het terug kan herleiden naar het oorspronkelijke nummer. Tokenisatie vervangt het kaartnummer door een betekenisloos token zonder wiskundige relatie met het origineel — de echte gegevens leven alleen in een beveiligde kluis, zodat een gestolen token waardeloos is.
02 Wat is beter voor het verkleinen van het PCI DSS-bereik?
Tokenisatie is over het algemeen sterker voor bereikverkleining. Wanneer kaartgegevens worden vervangen door tokens en buiten uw systemen in een PCI DSS Level 1-kluis worden opgeslagen, krimpt de kaarthoudergegevensomgeving en gaan de meeste merchants van SAQ D naar SAQ A. Encryptie alleen houdt versleutelde kaartgegevens — en de sleutels — doorgaans binnen uw bereik.
03 Werken tokenisatie en encryptie samen?
Ja. Ze zijn complementair. PCI Proxy tokeniseert kaartgegevens zodat ze uw systemen nooit bereiken, en binnen de kluis worden de echte gegevens beschermd met AES-256-encryptie in rust en TLS in doorvoer. U krijgt bereikverkleining door tokenisatie én sterke cryptografische bescherming van de opgeslagen gegevens.
04 Wanneer moet ik encryptie gebruiken in plaats van tokenisatie?
Encryptie is het juiste middel wanneer u de oorspronkelijke gegevens zelf moet bewaren en omkeerbaar moet verwerken — bijvoorbeeld volledige schijf- of databaseencryptie, of het beveiligen van gegevens in doorvoer. Voor kaartnummers die u liever niet opslaat, verwijdert tokenisatie de gegevens volledig uit uw omgeving, wat doorgaans de voorkeur heeft.
Tokenisatie en encryptie, goed geregeld
Vertel ons wat u beschermt en wij laten zien hoe een Europese kluis kaartgegevens buiten bereik en veilig houdt.