Tokenizacja vs szyfrowanie
Obie metody chronią dane kart — ale w zupełnie inny sposób, z bardzo różnym wpływem na zakres PCI DSS. Oto jak wypadają w porównaniu, kiedy stosować każdą z nich i dlaczego najlepsze konfiguracje łączą obie.
Dwa różne sposoby ochrony numeru karty
Tokenizacja
Zastępuje numer karty bezużytecznym tokenem bez matematycznego powiązania z oryginałem. Prawdziwe dane istnieją wyłącznie w bezpiecznym sejfie, więc skradziony token nie może zostać odwrócony w użyteczną kartę.
- Usuwa dane karty z Twoich systemów
- Ogranicza zakres PCI DSS do SAQ A
- Token jest bezużyteczny po wycieku
Szyfrowanie
Przekształca dane karty za pomocą algorytmu i klucza. Każdy kto ma klucz może odwrócić operację i odczytać oryginalny numer, więc ochrona zależy w pełni od bezpieczeństwa kluczy — a dane zazwyczaj pozostają w Twoim środowisku.
- Odwracalne przy posiadaniu klucza
- Chroni dane w spoczynku i podczas transmisji
- Klucze i dane często pozostają w zakresie
Tokenizacja vs szyfrowanie
| Kryterium | Szyfrowanie | Tokenizacja |
|---|---|---|
| Odwracalność | Tak, przy posiadaniu klucza | Brak powiązania matematycznego |
| Wartość po kradzieży | Ujawnione po kompromitacji klucza | Bezużyteczne |
| Usuwa dane z Twoich systemów | Zazwyczaj nie | Tak |
| Wpływ na zakres PCI DSS | Ograniczona redukcja | SAQ D do SAQ A |
| Najlepsze dla | Danych, które musisz przechowywać i przetwarzać | Danych kart, których nie chcesz przechowywać |
| W PCI Proxy | AES-256 wewnątrz sejfu | Przenośne tokeny sejfowe |
Nie musisz wybierać
Najsilniejsze konfiguracje łączą obie metody. PCI Proxy tokenizuje dane kart, dzięki czemu nigdy nie trafiają do Twoich systemów — a wewnątrz sejfu prawdziwe dane są chronione szyfrowaniem AES-256 w spoczynku i TLS podczas transmisji. Zyskujesz ograniczenie zakresu dzięki tokenizacji i silną ochronę kryptograficzną przechowywanych danych w jednej europejskiej usłudze PCI DSS Level 1.
Tokenizacja vs szyfrowanie — odpowiedzi na pytania
01 Jaka jest różnica między tokenizacją a szyfrowaniem?
Szyfrowanie przekształca dane karty za pomocą algorytmu i klucza, więc każdy kto posiada klucz może odwrócić operację i odczytać oryginalny numer. Tokenizacja zastępuje numer karty bezużytecznym tokenem bez żadnego matematycznego powiązania z oryginałem — prawdziwe dane istnieją wyłącznie w bezpiecznym sejfie, więc skradziony token nie ma żadnej wartości.
02 Co lepiej ogranicza zakres PCI DSS?
Tokenizacja jest generalnie skuteczniejsza w ograniczaniu zakresu. Gdy dane kart są zastępowane tokenami i przechowywane poza Twoimi systemami w sejfie PCI DSS Level 1, środowisko danych posiadaczy kart się zmniejsza, a większość sprzedawców przechodzi z SAQ D na SAQ A. Samo szyfrowanie zazwyczaj pozostawia zaszyfrowane dane kart — i klucze — w Twoim zakresie.
03 Czy tokenizacja i szyfrowanie działają razem?
Tak. Są komplementarne. PCI Proxy tokenizuje dane kart, więc nigdy nie trafiają do Twoich systemów, a wewnątrz sejfu prawdziwe dane są chronione szyfrowaniem AES-256 w spoczynku i TLS podczas transmisji. Zyskujesz ograniczenie zakresu dzięki tokenizacji i silną ochronę kryptograficzną przechowywanych danych.
04 Kiedy powinienem stosować szyfrowanie zamiast tokenizacji?
Szyfrowanie jest właściwym narzędziem, gdy musisz samodzielnie przechowywać i odwracalnie przetwarzać oryginalne dane — na przykład szyfrowanie całego dysku lub bazy danych albo zabezpieczanie danych w transmisji. Dla numerów kart, których nie chcesz przechowywać, tokenizacja całkowicie usuwa dane z Twojego środowiska, co jest zazwyczaj rozwiązaniem preferowanym.
Tokenizacja i szyfrowanie zrealizowane właściwie
Opowiedz nam, co chcesz chronić, a my pokażemy, jak europejski sejf utrzymuje dane kart poza zakresem i bezpiecznie.