SafeNet Tokenization
虚拟化卡号保护系统进入组织的敏感数据并通过缩小法规遵从范围和降低法规遵从成本促进对法规(例如 PCI DSS 和 HIPAA)的遵从。马上行动,了解启用SafeNet Tokenization将获得的受益。
使用SafeNet Tokenization可获得的功能
SafeNet Tokenization Manager 保护进入组织的敏感数据并通过缩小法规遵从范围和降低法规遵从成本促进对法规(例如 PCI DSS 和 HIPAA)的遵从。
令牌化简介
令牌化是使用替代值(令牌)替换敏感数据(主账号、社会安全号码等)的流程。令牌化流程可以显著降低数据泄露和数据模糊的风险,因为敏感数据会以加密格式存储在中央令牌库中。
每个签发的令牌代表一个唯一的敏感数据字符串。如果将令牌分配给一个原始主账号 (PAN),无论这个主账号何时用于交易,商家都可以多次使用相同的令牌。
SafeNet Tokenization Manager 符合 PCI Tokenization Guidelines(PCI 令牌化指导原则,2011 年 8 月发布)和 VISA 令牌化最佳实践。
SafeNet Tokenization Manager 摘要:
保留格式的令牌化
保留格式的令牌化 (FPT) 使用保留敏感数据长度和格式的令牌。FPT 确保不需要更改旧有数据库就可以支持令牌化流程。
SafeNet Tokenization Manager FPT 支持多种格式的信用卡号、SSN、其他 PII 数据以及数字字母数据。该产品符合 PCI-DSS 指导原则的令牌/主账号可区别性要求(通过 LUHN 算法强制执行策略存档)
可扩展性和灵活性
Tokenization Manager 旨在提供可扩展性和灵活性,让组织能够以高性价比的方式实施其解决方案:
- 集群部署确保高可用性和可扩展性
- 多个 Tokenization Manager 实例(物理或虚拟服务器上)可以共享一个令牌库,避免令牌冲突
- 根据交易量灵活部署不同数量的实例/硬件服务器
- 面向企业和服务提供商
- 适用于以高性价比的方式支持“高峰期”的商家
安全强大
为确保解决方案更加安全,所有 Tokenization Manager 加密操作都在强大的密钥管理和加密卸载设备 SafeNet DataSecure 中进行。
SafeNet Tokenization Manager 和 SafeNet DataSecure 相结合提供:
- 安全的密钥库
- 用于所有加密操作的受信任执行环境
- 通过单个界面对受保护数据、密钥和令牌的访问进行日志记录、审计和报告
- 令牌库加密密钥支持密钥轮换功能
- 支持单用途和多用途令牌
- 符合 NIST 800-57 密钥管理指导原则以及 PCI-DSS 密钥管理要求
令牌化即服务 (TaaS)
SafeNet Tokenization Manager 让金融服务提供商和收款者能够通过为客户提供“令牌化即服务”来拓展其产品和服务并创造新的收入来源。
在内部部署SafeNet Tokenization Manager 和 SafeNet DataSecure 后,服务提供商可以为客户提供全套加密和令牌化服务,让客户的整个组织都无需担心法规遵从,消除所有所有 PCI-DSS 审计成本。
- Safenet Tokenization Manager 解决方案完全符合 PCI-DSS 要求
- API Web 服务可以实现 CDE 和非 CDE 之间的简单集成和清楚划分
- 灵活的部署和业务模式,非常适合服务环境和定价
- 支持不同商家使用不同令牌库
技术规格 |
||
|---|---|---|
|
保留格式的符号化 |
|
|
|
支持的令牌库数据库 |
注意:只要库本身在 Microsoft SQL Server 或 Oracle 上,所有数据库就都支持全部符号化形式 |
|
|
支持的 API |
|
|
|
增强的日志记录和监控功能 |
|
|
功能
-
Tokenization Manager 对“保留格式的令牌化”的支持可以确保不需要更改旧有数据库就能支持符号化流程。
-
Tokenization Manager 提供部署灵活性和可扩展性,让组织可以获得最高性价比的实施。
-
所有加密操作都在强大的密钥管理和加密卸载设备 SafeNet DataSecure 中进行,构成安全的令牌化硬件解决方案。
优点
-
端到端令牌化,最大程度缩小监管范围
-
完全符合 PCI Tokenization Guidelines(PCI 符号化指导原则)和 VISA 令牌化最佳实践。
-
统一的政策管理控制台,可以进行拓展以满足其他合规需求,例如透明的数据库加密、存储加密、文件加密以及虚拟服务器加密。
-
令牌化即服务 (TaaS) 平台让令牌化服务提供商可以创造新收入来源,同时将其客户完全排除在监管范围之外。
常见问题:
对于寻找数据保护快捷方法的很多组织而言,令牌化是它们关注的焦点。尽管这是临时的可行方案,也可作为长期数据保护策略的一部分,但组织需要慎重考虑符号化的框架及其对整体安全策略的影响。
简单来讲,到底什么是令牌化?
令牌化指以与原始数据字段类型属性相同的特殊信息将敏感信息存放到数据库中。该特殊信息或“参考”用于重新获取敏感信息,不会影响正确实施的系统的整体安全性。所有形式的数据都可进行符号化,包括信用卡、社会保险号、病历记录、个人身份信息等。尽管这种方法可能在某些情况下适用,但化令牌化并不是完整的数据保护方法。
采用令牌化方法的优势或优点有哪些?
令牌化的主要优点包括:无需修改系统即可处理密文、数据保护对不处理数据的系统而言是透明的,以及不访问数据的系统不会纳入合规性审查范围。
组织需要留意的隐患或主要挑战有哪些?
令牌化的主要挑战是绝不能以简单的分步方法来评估系统的每项功能以确保环境安全。相对于分步试用系统并展示阶段性成果的传统数据保护而言,这是一种全有或全无的方法。很多人将符号化视为保护数据及实现合规的“尚方宝剑”,但现实是令牌化只是一种实施方法,应被视为整体数据保护策略的一部分。只有在集成安全保护、安全密钥管理和访问控制等重要的全面数据保护策略的关键组件后,符号化才有意义。总之,很多情况下仍需要移动整个企业的数据进行评估;这些都是令牌化未能真正解决的难题。
谁在使用令牌化?
目前,有一些组织在使用令牌化,其中很多是侧重于对信用卡信息的保护,以便 PCI 合规。过去五年中,若干大型零售组织部署了 SafeNet,将令牌化作为其整体数据保护策略的一部分。我们会继续帮助客户部署我们的技术,并为他们提供构建数据保护(可能包含令牌化)战略和战术方案提供指导。
令牌化如何满足合规性要求?
令牌化通过将存储的敏感信息移动到单一位置,从而将部分“令牌化”系统排除在审计范围之外,而从满足合规性要求。客户仍需要确保通过通过访问控制、防止数据明文保存和强密钥管理对敏感数据进行了适当保护。
令牌化的未来前景如何?
对于期望实现合规性及部署整体安全最佳实践的组织而言,令牌化是可选的实施方案。但客户需要关注其整体数据保护策略,让加密、密钥管理、数据泄漏防护在现在和未来都能发挥作用。很多这些技术都可以解决短期需求,通过“翻新”现有环境为企业提供安全性。
而最佳解决方案要既能应对当前的即时需求,又能在长远的战略方向中发挥作用。这就需要影响第三方厂商产品架构并成为其中的一部分,同时又要与整个行业一起改变人们看待数据管理和保护的方式,而不是网络或基础设施。说到底,令牌化尽管是有效的方法,但仅仅是整体数据保护“拼图”的众多板块之一。
