我对身份验证和支付行业的令牌化概念感到困惑,用作一次性密码的令牌与ApplePay使用的令牌有什么区别?有什么不同?另外,像PCIDSS这样的合规机构如何看待令牌化?MikeChapple:令牌化是我最喜欢的安全技术之一,尤其是因为它可以帮助缩小PCIDSS合规范围。在深入探讨该技术的工作原理之前,让我解释一下让您感到困惑的一件事。在安全领域,“token”有两个概念。熟悉的令牌可以指人们携带的物理实体(通常在密钥卡上),可以生成一次性密码并用于多因素身份验证系统。但这不是我们在标记化中谈论的标记。令牌化中使用的令牌是用于代替敏感数据的字母数字代码,ApplePay和许多较新的POS系统中使用的令牌化技术用于替换信用卡号。如果部署得当,该技术可以确保信用卡号永远不会接触零售商的系统,从而有助于缩小PCIDSS合规范围。例如,客户可能会在商店收银台使用令牌化,他或她可以使用只有银行知道的加密密钥通过自助读卡器刷信用卡。读卡器可以使用点对点加密来加密敏感的信用卡信息。然后,加密的信用卡号通过零售商的系统发送到银行进行处理。同时,POS系统在其记录中记录代币价值,银行可以使用它来将其与特定的信用卡交易联系起来。POS系统永远不会看到未加密的信用卡号,因此它不在PCIDSS合规性范围内。支付卡行业安全标准委员会已经认识到令牌化技术的价值,并支持使用它来提高安全性和减少合规工作的范围。
