SafeNet Tokenization Manager 保护进入组织的敏感数据并通过缩小法规遵从范围和降低法规遵从成本促进对法规(例如 PCI DSS 和 HIPAA)的遵从。
令牌化简介
令牌化是使用替代值(令牌)替换敏感数据(主账号、社会安全号码等)的流程。令牌化流程可以显著降低数据泄露和数据模糊的风险,因为敏感数据会以加密格式存储在中央令牌库中。
每个签发的令牌代表一个唯一的敏感数据字符串。如果将令牌分配给一个原始主账号 (PAN),无论这个主账号何时用于交易,商家都可以多次使用相同的令牌。
SafeNet Tokenization Manager 符合 PCI Tokenization Guidelines(PCI 令牌化指导原则,2011 年 8 月发布)和 VISA 令牌化最佳实践。
SafeNet Tokenization Manager 摘要:
可扩展性和灵活性
安全强大
令牌化即服务 (TaaS)
技术规格 |
||
---|---|---|
保留格式的符号化 |
|
|
支持的令牌库数据库 |
注意:只要库本身在 Microsoft SQL Server 或 Oracle 上,所有数据库就都支持全部符号化形式 |
|
支持的 API |
|
|
增强的日志记录和监控功能 |
|
功能
-
Tokenization Manager 对“保留格式的令牌化”的支持可以确保不需要更改旧有数据库就能支持符号化流程。
-
Tokenization Manager 提供部署灵活性和可扩展性,让组织可以获得最高性价比的实施。
-
所有加密操作都在强大的密钥管理和加密卸载设备 SafeNet DataSecure 中进行,构成安全的令牌化硬件解决方案。
优点
-
端到端令牌化,最大程度缩小监管范围
-
完全符合 PCI Tokenization Guidelines(PCI 符号化指导原则)和 VISA 令牌化最佳实践。
-
统一的政策管理控制台,可以进行拓展以满足其他合规需求,例如透明的数据库加密、存储加密、文件加密以及虚拟服务器加密。
-
令牌化即服务 (TaaS) 平台让令牌化服务提供商可以创造新收入来源,同时将其客户完全排除在监管范围之外。
常见问题:
对于寻找数据保护快捷方法的很多组织而言,令牌化是它们关注的焦点。尽管这是临时的可行方案,也可作为长期数据保护策略的一部分,但组织需要慎重考虑符号化的框架及其对整体安全策略的影响。
简单来讲,到底什么是令牌化?
令牌化指以与原始数据字段类型属性相同的特殊信息将敏感信息存放到数据库中。该特殊信息或“参考”用于重新获取敏感信息,不会影响正确实施的系统的整体安全性。所有形式的数据都可进行符号化,包括信用卡、社会保险号、病历记录、个人身份信息等。尽管这种方法可能在某些情况下适用,但化令牌化并不是完整的数据保护方法。
采用令牌化方法的优势或优点有哪些?
令牌化的主要优点包括:无需修改系统即可处理密文、数据保护对不处理数据的系统而言是透明的,以及不访问数据的系统不会纳入合规性审查范围。
组织需要留意的隐患或主要挑战有哪些?
令牌化的主要挑战是绝不能以简单的分步方法来评估系统的每项功能以确保环境安全。相对于分步试用系统并展示阶段性成果的传统数据保护而言,这是一种全有或全无的方法。很多人将符号化视为保护数据及实现合规的“尚方宝剑”,但现实是令牌化只是一种实施方法,应被视为整体数据保护策略的一部分。只有在集成安全保护、安全密钥管理和访问控制等重要的全面数据保护策略的关键组件后,符号化才有意义。总之,很多情况下仍需要移动整个企业的数据进行评估;这些都是令牌化未能真正解决的难题。
谁在使用令牌化?
目前,有一些组织在使用令牌化,其中很多是侧重于对信用卡信息的保护,以便 PCI 合规。过去五年中,若干大型零售组织部署了 SafeNet,将令牌化作为其整体数据保护策略的一部分。我们会继续帮助客户部署我们的技术,并为他们提供构建数据保护(可能包含令牌化)战略和战术方案提供指导。
令牌化如何满足合规性要求?
令牌化通过将存储的敏感信息移动到单一位置,从而将部分“令牌化”系统排除在审计范围之外,而从满足合规性要求。客户仍需要确保通过通过访问控制、防止数据明文保存和强密钥管理对敏感数据进行了适当保护。
令牌化的未来前景如何?
对于期望实现合规性及部署整体安全最佳实践的组织而言,令牌化是可选的实施方案。但客户需要关注其整体数据保护策略,让加密、密钥管理、数据泄漏防护在现在和未来都能发挥作用。很多这些技术都可以解决短期需求,通过“翻新”现有环境为企业提供安全性。
而最佳解决方案要既能应对当前的即时需求,又能在长远的战略方向中发挥作用。这就需要影响第三方厂商产品架构并成为其中的一部分,同时又要与整个行业一起改变人们看待数据管理和保护的方式,而不是网络或基础设施。说到底,令牌化尽管是有效的方法,但仅仅是整体数据保护“拼图”的众多板块之一。
虚拟化卡号保护系统进入组织的敏感数据并通过缩小法规遵从范围和降低法规遵从成本促进对法规(例如 PCI DSS 和 HIPAA)的遵从。