Tokenização vs encriptação
Ambas protegem os dados de cartão — mas de formas muito diferentes, com efeitos muito diferentes no seu âmbito PCI DSS. Eis como se comparam, quando usar cada uma e por que os setups mais robustos usam ambas.
Duas formas diferentes de proteger um número de cartão
Tokenização
Substitui o número do cartão por um token sem significado que não tem qualquer ligação matemática ao original. Os dados reais residem apenas num cofre seguro, pelo que um token roubado não pode ser revertido num cartão utilizável.
- Remove os dados de cartão dos seus sistemas
- Reduz o âmbito PCI DSS para SAQ A
- O token é inútil se for divulgado
Encriptação
Embaralha os dados do cartão com um algoritmo e uma chave. Qualquer pessoa com a chave pode revertê-los para o número original, pelo que a proteção depende inteiramente da segurança das chaves — e os dados permanecem geralmente no seu ambiente.
- Reversível com a chave
- Protege os dados em repouso e em trânsito
- Chaves e dados ficam frequentemente no âmbito
Tokenização vs encriptação
| Dimensão | Encriptação | Tokenização |
|---|---|---|
| Reversível | Sim, com a chave | Sem ligação matemática |
| Valor se roubado | Exposto se a chave for comprometida | Inútil |
| Remove dados dos seus sistemas | Geralmente não | Sim |
| Impacto no âmbito PCI DSS | Redução limitada | SAQ D para SAQ A |
| Ideal para | Dados que deve manter e processar | Dados de cartão que prefere não armazenar |
| No PCI Proxy | AES-256 dentro do cofre | Tokens portáteis em cofre |
Não tem de escolher
Os setups mais robustos usam ambas. O PCI Proxy tokeniza os dados de cartão para que nunca toquem nos seus sistemas — e dentro do cofre os dados reais são protegidos com encriptação AES-256 em repouso e TLS em trânsito. Obtém redução do âmbito pela tokenização e proteção criptográfica robusta dos dados armazenados, num único serviço europeu PCI DSS Nível 1.
Tokenização vs encriptação, respondida
01 Qual é a diferença entre tokenização e encriptação?
A encriptação embaralha os dados do cartão com um algoritmo e uma chave, pelo que qualquer pessoa com a chave pode revertê-los para o número original. A tokenização substitui o número do cartão por um token sem significado que não tem qualquer relação matemática com o original — os dados reais residem apenas num cofre seguro, pelo que um token roubado não tem qualquer valor.
02 Qual é melhor para reduzir o âmbito PCI DSS?
A tokenização é geralmente mais eficaz para a redução do âmbito. Quando os dados do cartão são substituídos por tokens e armazenados fora dos seus sistemas num cofre PCI DSS Nível 1, o ambiente de dados de titulares de cartão diminui e a maioria dos comerciantes passa de SAQ D para SAQ A. A encriptação isolada mantém geralmente os dados de cartão encriptados — e as chaves — dentro do seu âmbito.
03 A tokenização e a encriptação funcionam em conjunto?
Sim. São complementares. O PCI Proxy tokeniza os dados de cartão para que nunca toquem nos seus sistemas e, dentro do cofre, os dados reais são protegidos com encriptação AES-256 em repouso e TLS em trânsito. Obtém redução do âmbito pela tokenização e proteção criptográfica robusta dos dados armazenados.
04 Quando devo usar encriptação em vez de tokenização?
A encriptação é a ferramenta certa quando precisa de manter e processar de forma reversível os dados originais — por exemplo, encriptação de disco completo ou de base de dados, ou proteção de dados em trânsito. Para números de cartão que não pretende armazenar, a tokenização remove os dados do seu ambiente por completo, o que é geralmente preferível.
Tokenização e encriptação, bem implementadas
Diga-nos o que está a proteger e mostraremos como um cofre europeu mantém os dados de cartão fora do âmbito e seguros.