Do varnosti podatkov s tokenizacijo
15.9.2014 - SafeNet
SafeNet, vodilni proizvajalec rešitev iz različnih segmentov področja informacijske varnosti, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavlja metodologijo in namensko rešitev za zaščito podatkov - tokenizacijo. No, to je neke vrste 'domač' prevod izraza tokenization, ki se vseeno sliši nekoliko bolje kot žetonizacija (token = žeton po slovensko). Kaj pa sploh je to tokenizacija? Tokenizacija predstavlja zamenjavo občutljivih podatkov z unikatnim a nadomestnim podatkom podobnih lastnosti. Namesto, da se varnostno občutljiv podatek zares pojavlja v različnih podatkovnih bazah ali transakcijah, se uporabi token - žeton, torej neke vrste sklic oziroma referenca do originalnega podatke. Na ta način je mogoče obdelati, torej tokenizirati vse vrste podatkov - kreditne kartice, identifikacijske številke in oznake, medicinske zapise, osebne podatke in drugo. In kaj je korist tokenizacije? Če pride do vdora v bazo ali podatkovno transakcijo v okolju, kjer se koristi ta metodologija, bo nepooblaščena oseba prišla do žetona, a ta ne bo prav nič koristil, saj ne nosi dejanske informacije, je le sklic na izvorni podatek. Izvorni podatki pa se hranijo zgolj v močno zaščitenih podatkovnih bazah, v katere je vdor izredno malo verjeten - tokenizacija sama po sebi ni popolna podatkovna zaščita, je pa lahko del učinkovite varnostne strategije.
SafeNet tokenizacija
SafeNet Tokenization Manager ščiti občutljive podatke v organizaciji in je hkrati tudi v pomoč pri spoštovanju predpisov kot so PCI DSS, HIPAA ali lokalni pravilniki. V postopku tokenizacije se varnostno občutljiv podatek zamenja z nadomestno vrednostjo - z žetonom. S tem se konkretno zmanjša tveganje uhajanja podatkov zaradi vdorov ali pomanjkljivega nadzora nad distribucijo podatkov, saj obstaja samo en original na eni sami znani lokaciji, pa še to običajno v šifriranem zapisu. Vsak žeton predstavlja unikatno zaporedje originalnih podatkov, ne glede na to kaj so bili, na primer številka kreditne kartice, ki se potem lahko pojavlja v vsaki transakciji, katere se nanaša na ta podatek.
Koristi in prednosti tokenizacije
Glavne prednost SafeNet tokenizacije je, da nam ni treba spreminjati sistemov, ki jo bodo uporabljali, da vanje ni treba integrirati funkcionalnosti za šifriranje oz. za obdelavo šifropisa. Varstvo podatkov je transparentno za sistemom, ki ne spreminjajo podatkov, sistemi, ki nimajo dostopa do podatkov, pa so lahko posledično izvzeti iz revizij skladnosti.
Pasti in ključni izzivi tokenizacije
Glavni izziv je v okviru implementacije, ko je treba oceniti vsako funkcijo vsakega sistema, zaradi česar je preprostejši več-fazni pristop nemogoč; ali se bo implementirala v celoti, ali pa sploh ne. Mnogi vidijo tokenizacijo kot čudežno rešitev varovanja podatkov, a v resnici moramo vedeti, da je le možni del uspešne splošne strategije varstva podatkov in doseganja skladnosti. Tokenizacija je smiselna le ob hkratni implementaciji šifriranja podatkov, varnega upravljanja šifrirnih ključev, ter upravljanja in nadzor dostopov, kar so ključne sestavine celovite strategije varstva podatkov. Še vedno bo namreč ostalo veliko primerov, ko bo treba premikati dejanske podatke, to pa je seveda izziv, katerega tokenizacija ne more rešiti.
Uporabniki tokenizacije
Dandanes že številne organizacije aktivno koristijo tokenizacijo danes, na primer za potrebe zaščite podatkov o kreditnih karticah v okviru PCI-DSS. SafeNet je v zadnjih pet letih implementiral to rešitev kot del splošne strategije varstva podatkov v več velikih trgovskih verigah.
Tokenizacija in izpolnjevanje skladnostnih zahtev
Tokenizacija nam koristi pri doseganju skladnosti na ta način, da premikane shranjene občutljive podatke na eno centralno mesto in da v zameno zanje večina 'tokeniziranih' sistemov koristi žetone. Posledica tega je, da veliko teh sistemov pri skladnostnih revizijah sploh več ni treba upoštevati, saj ne hranijo izvornih informacij. Drugi vidiki doseganja skladnosti pa seveda ostajajo nespremenjeni.
Tokenizacija v prihodnje
Tokenizacija je ena od opcij za organizacije, ki želijo doseči skladnost se držati najboljše kombinacije učinkovitih varnostnih ukrepov. Organizacije morajo imeti pregled nad svojo splošno strategijo varstva podatkov, in vezati tokenizacijo na šifriranje, upravljanje šifrirnih ključe, DLP storitev ter nadzor dostopa, sedaj in v prihodnje. Najboljše rešitve so tisti, ki rešujejo takojšnjo potrebo danes in lahko imajo prav tako pomembno vlogo kot del dolgoročnega strateškega pristopa. Končna ugotovitev je - tokenizacija je učinkovit, a le eden od več zahtevanih kosov celotne sestavljanke varstva podatkov.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://www.safenet-inc.com/data-encryption/data-center-security/tokenization-manager/
### ### ###
O podjetju SafeNet
SafeNet je vodilni globalni ponudnik rešitev s področja informacijske varnosti, ki svojim strankam nudi popolno varnost z uvajanjem tehnologij za kodiranje podatkov v namene zaščite komunikacij, intelektualne lastnine in digitalnih identitet. SafeNet tehnologije so tako rekoč standard za varno povezovanje oddaljenih odjemalcev; podjetje je vodilni ponudnik na tržišču USB avtentifikacijskih tokenov, ki odpravljajo potrebo po uporabniških imenih in geslih in tako eliminirajo s tem povezane težave (upravljanje gesel); na področje zaščite komunikacij spadajo še SSL naprave (SSL acceleration devices), ki zagotavljajo hitrost, zanesljivost in varnost online transakcij. Programski izdelki s področja varnosti in licenciranja izdelkov zagotavljajo varnost podatkov v mirovanju (kodiranje diskov in posameznih datotek, kodiranje podatkov na prenosnih medijih) in preprečujejo piratizacijo programske opreme oz. vseh avtorskih izdelkov. SafeNet omogoča varnost komunikacij, varnost identitet, varnost mirujočih podatkov in varno poslovanje aplikacij.
Več o podjetju najdete na spletnih straneh: http://www.safenet-inc.com
Dodatne informacije:
Daniel Bednjički, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74