Entrar 

Criptografia e tokenização: quais são as diferenças e como funcionam em conjunto

Payments
Payments

Aceite pagamentos online, presenciais e de qualquer lugar do mundo com uma solução desenvolvida para todos os tipos de negócios, de startups em crescimento a grandes multinacionais.

Saiba mais 
  1. Introdução
  2. Como funciona a criptografia?
  3. Para que serve a criptografia?
  4. Como funciona a tokenização?
  5. Para que serve a tokenização?
  6. Tokenização e criptografia: principais diferenças e como funcionam em conjunto
    1. Um exemplo do uso conjunto de tokenização e criptografia
  7. Práticas recomendadas para usar criptografia e tokenização em sua empresa
    1. Criptografia
    2. Tokenização
    3. Combinação de criptografia e tokenização
  8. Comece já com a Stripe 

Criptografia e tokenização são técnicas de segurança de dados. A criptografia embaralha dados sigilosos, impedindo a sua leitura sem uma chave de descriptografia. A tokenização substitui dados sigilosos por um substituto não sigiloso (um token), que não tem valor por si só. O crescimento dos pagamentos online e digitais levou a um aumento desses métodos de segurança. Estima-se que o volume de transações de pagamento tokenizadas ultrapasse um trilhão globalmente até 2026.

Abaixo, vamos desvendar as diferenças entre criptografia e tokenização, incluindo como funcionam, como são usadas e o que as empresas precisam saber sobre usá-las em conjunto para manter os sistemas de pagamentos seguros.

Neste artigo:

  • Como funciona a criptografia?
  • Para que serve a criptografia?
  • Como funciona a tokenização?
  • Para que serve a tokenização?
  • Tokenização e criptografia: principais diferenças e como funcionam em conjunto
  • Práticas recomendadas para o uso de criptografia e tokenização em sua empresa

Como funciona a criptografia?

A criptografia transforma texto plano, a forma legível de dados, em texto cifrado, um formato ilegível. Ela transforma dados usando um algoritmo criptográfico (um conjunto de regras matemáticas que determinam como os dados são embaralhados) e uma chave (uma informação, como uma senha, que é usada pelo algoritmo para criptografar e descriptografar os dados).

Veja um exemplo simplificado de como isso funciona:

  • Texto plano: "Olá"

  • Chave: "Segredo"

  • Algoritmo: cifra de César (desloca cada letra do alfabeto por um certo número de lugares)

  • Criptografia: O algoritmo, usando a chave "Segredo", desloca cada letra em "Olá" por três posições, resultando no texto cifrado "Khoor".

Somente alguém com a chave correta ("Segredo") e conhecimento do algoritmo (cifra de César) seria capaz de descriptografar o texto cifrado de volta ao texto plano original.

Existem muitos tipos diferentes de algoritmos de criptografia, cada um com diferentes níveis de complexidade e segurança. Alguns algoritmos comumente usados incluem Advanced Encryption Standard (AES) e Rivest-Shamir-Adleman (RSA).

A força da criptografia depende de vários fatores, incluindo o algoritmo usado, o comprimento e a complexidade da chave e a segurança dos sistemas para armazenar e transmitir dados criptografados.

Para que serve a criptografia?

A criptografia protege dados sigilosos. Veja a seguir algumas das aplicações mais comuns:

  • Comunicação: A criptografia protege os dados transmitidos pelas redes, como e-mails, mensagens e transações online, para que somente pessoas autorizadas possam acessar esses dados, evitando escutas e adulterações.

  • Armazenamento de dados: a criptografia protege os dados armazenados em dispositivos e servidores, impedindo a sua leitura por indivíduos não autorizados. Isso é importante para dados sigilosos, como dados pessoais, registros financeiros e documentos comerciais confidenciais.

  • Proteção por senha: a criptografia armazena e protege senhas. Em vez de armazenar senhas em texto plano, a criptografia as converte em hashes criptografados. Dessa forma, fica mais difícil que os hackers recuperem as senhas, mesmo que tenham acesso a seus hashes.

  • Transferência de arquivos: a criptografia mantém a confidencialidade dos dados quando alguém transfere arquivos pela internet ou outras redes, protegendo informações sigilosas, como propriedade intelectual, prontuários médicos e dados financeiros.

  • Transações financeiras: a criptografia mantém a confidencialidade das transações financeiras em sistemas de online banking e pagamentos, protegendo informações sigilosas, como números de cartão de crédito e dados de contas bancárias.

  • Redes privadas virtuais (VPNs): as VPNs usam criptografia para criar conexões seguras em redes públicas, permitindo que os usuários acessem recursos de forma segura e privada. As empresas costumam usar VPNs para proteger dados sigilosos transmitidos entre escritórios e funcionários remotos.

  • Gerenciamento de direitos digitais (DRM): os sistemas de DRM usam criptografia para controlar o acesso a material protegido por direitos autorais, como software, música e vídeos. Dessa forma, evitam cópia ou distribuição não autorizada.

  • Navegação: o Hypertext Transfer Protocol Secure (HTTPS) usa criptografia para proteger o tráfego do site, mantendo a confidencialidade os dados transmitidos entre o navegador do usuário e o servidor do site.

  • Aplicativos de mensagens: muitos aplicativos de mensagens usam criptografia de ponta a ponta para que apenas o remetente e o destinatário pretendido possam ler as mensagens. Assim, oferecem um alto nível de privacidade e segurança para comunicações sigilosas.

Como funciona a tokenização?

A tokenização substitui dados sigilosos, como números de cartão de crédito, números de seguridade social e qualquer outro dado confidencial, por equivalentes não sigilosos gerados aleatoriamente, denominados tokens. Esse token é uma sequência de caracteres que não tem valor ou significado inerente. Mesmo que um token seja comprometido, ele é inútil para um invasor porque não contém os dados sigilosos. Há muitos usos para os tokens, o que os torna uma ferramenta versátil para proteger dados sigilosos.

Os sistemas de tokenização gerenciam os tokens e sua relação com os dados originais. Esses sistemas armazenam os dados sigilosos originais em um ambiente altamente seguro. Muitas vezes, esse ambiente é chamado de cofre de tokens, um recurso isolado e protegido contra acesso não autorizado. O sistema usa o token em vez dos dados originais ao concluir processos como transações. Em alguns casos, o sistema pode recuperar os dados sigilosos originais do cofre de tokens usando um processo chamado destokenização. No entanto, isso normalmente só é feito quando absolutamente necessário e sob rígidos controles de segurança. Os tokens são irreversíveis por projeto, o que significa que não podem ser usados para obter os dados sigilosos originais sem acesso ao cofre de tokens.

Para que serve a tokenização?

A tokenização mantém os dados sigilosos seguros e privados em uma grande variedade de setores e aplicativos. Veja alguns casos de uso comuns:

  • Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS): a tokenização protege os dados do cartão de crédito. Ele ajuda comerciantes e processadores de pagamento a cumprir as regulamentações do PCI DSS, reduzindo o risco de violações de dados e fraude.

  • E-commerce: a tokenização mantém a segurança das transações online, protegendo as informações de pagamento do cliente durante o processamento e armazenamento. Dessa forma, ajuda a proteger empresas e clientes contra perdas financeiras devido ao acesso não autorizado a dados de cartão.

  • Saúde: a tokenização protege as informações de saúde do paciente (PHI) substituindo elementos de dados sigilosos, como números de seguridade social ou números de identificação médica, por tokens. Ela ajuda os provedores de serviços de saúde a cumprir as regulamentações da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e a proteger a privacidade dos pacientes.

  • Serviços financeiros: aplicativos financeiros como pagamentos com dispositivos móveis, transações peer-to-peer e vinculação de contas usam tokenização para proteger dados financeiros sigilosos contra acesso não autorizado e fraude.

  • Programas de fidelidade: a tokenização mantém a segurança dos dados de programas de fidelidade de clientes, incluindo pontos de recompensa ou números de associação, para proteger os dados dos clientes e evitar seu uso indevido.

  • Armazenamento de dados: a tokenização protege dados sigilosos armazenados em bancos de dados ou na nuvem, reduzindo o risco de violações de dados e mantendo a confidencialidade das informações.

  • Governo e setor público: a tokenização protege dados sigilosos do governo e do setor público, como dados de identificação, registros fiscais e números de seguridade social.

Tokenização e criptografia: principais diferenças e como funcionam em conjunto

Tokenização e criptografia são técnicas complementares de segurança de dados que muitas vezes são usadas em conjunto. A criptografia transforma dados de texto plano em um formato ilegível (texto cifrado) usando um algoritmo criptográfico e uma chave. A tokenização substitui dados sigilosos por um valor substituto conhecido como token, que não tem valor ou significado intrínseco e não tem relação matemática com os dados originais.

Veja algumas diferenças e sobreposições funcionais dos dois recursos:

Técnica
Criptografia
Tokenização
Reversão Reversível com a chave correta Irreversível sem acesso ao cofre do token
Formato dos dados Altera a estrutura original dos dados Preserva o formato original dos dados
Foco na segurança Protege dados em repouso e em trânsito Protege principalmente dados em repouso
Conformidade Ajuda a cumprir requisitos de conformidade, mas nem sempre isola completamente os dados confidenciais Facilita a conformidade mediante a remoção de dados confidenciais do ambiente
Casos de uso Ideal para dados que precisam ser lidos e processados na sua forma original Melhor para dados que precisam ser consultados, mas não revelados

Usadas em conjunto, tokenização e criptografia podem criar uma abordagem de segurança em camadas. Veja a seguir como elas funcionam juntas:

  • Tokenização para armazenamento: um usuário tokeniza dados sigilosos e os armazena em um banco de dados.

  • Criptografia para transmissão: quando os tokens precisam ser transmitidos para finalidades como processamento de pagamentos, o usuário pode criptografá-los para garantir a segurança da comunicação.

  • Destokenização (se necessária): em cenários específicos que exigem acesso aos dados originais, as partes autorizadas podem usar o cofre de tokens para destokenizar os dados usando protocolos de segurança rígidos.

Um exemplo do uso conjunto de tokenização e criptografia

Um varejista armazena dados de cartão de crédito do cliente. Em vez de armazenar os números reais dos cartões, ele usa tokenização para substituí-los por tokens. O varejista usa os tokens para transações, enquanto os números de cartão reais são armazenados com segurança em um cofre de tokens e criptografados para obter proteção adicional.

Práticas recomendadas para usar criptografia e tokenização em sua empresa

Criptografia e tokenização são componentes importantes de um sistema robusto de segurança de dados. Veja a seguir algumas práticas recomendadas para implementar padrões de segurança eficazes mantendo a conformidade:

  • Conformidade: entenda as regulamentações relevantes de proteção de dados no seu setor (por exemplo, PCI DSS, HIPAA, Regulamento Geral de Proteção de Dados [GDPR]) para garantir a conformidade de suas práticas de criptografia e tokenização.

  • Auditorias de segurança: revise e audite regularmente seus processos de criptografia e tokenização para identificar possíveis fraquezas e vulnerabilidades.

  • Treinamento de funcionários: oriente seus funcionários sobre a importância da segurança de dados e o tratamento adequado de dados sigilosos.

  • Plano de resposta a incidentes: planeje uma resposta rápida e eficaz a possíveis violações de segurança.

Criptografia

Veja algumas práticas recomendadas para usar criptografia:

  • Use algoritmos padrão do setor, como AES, com comprimentos de chave apropriados (por exemplo, AES-256). Evite algoritmos desatualizados ou fracos.

  • Proteja suas chaves de criptografia. Armazene as chaves com segurança, controle rigorosamente o acesso e alterne-as regularmente. Considere usar um módulo de segurança de hardware (HSM) para obter ainda mais proteção.

  • Criptografe dados sigilosos armazenados em servidores, na nuvem e quando são transmitidos por redes.

  • Usar protocolos seguros como Transport Layer Security (TLS) para criptografar canais de comunicação e manter a confidencialidade de dados transmitidos entre sistemas.

Tokenização

Estas são algumas práticas recomendadas para usar a tokenização:

  • Priorize a tokenização para dados altamente sigilosos, como números de cartão de crédito, números de seguridade social e informações pessoalmente identificáveis (PII).

  • Armazene os dados originais e sua relação com os tokens em um cofre de tokens seguro, separado do seu ambiente de produção. Implemente controles de acesso e monitoramento robustos para o cofre.

  • Considere a tokenização com preservação de formato (FPT) para manter o formato original dos dados e simplificar a integração com sistemas e aplicativos existentes.

  • Desenvolva uma política clara para gerar, usar e descartar tokens para garantir que eles sejam usados adequadamente e não se tornem obsoletos ou vulneráveis.

Combinação de criptografia e tokenização

Aqui estão algumas práticas recomendadas para combinar criptografia e tokenização em seu sistema de segurança:

  • Combine os pontos fortes de ambas as técnicas para aumentar a segurança. Criptografe dados tokenizados para protegê-los ainda mais durante a transmissão.

  • Reserve a tokenização para os dados mais sigilosos e use criptografia para os demais dados sigilosos para equilibrar segurança com desempenho e usabilidade.

  • Avalie o risco associado a diferentes tipos de dados e aplique as medidas de proteção correspondentes. Nem todos os tipos de dados precisam do mesmo nível de segurança.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Payments

Payments

Aceite pagamentos online, presenciais e em todo o mundo com uma solução desenvolvida para todos os tipos de empresas.

Documentação do Payments

Encontre guias sobre como integrar as APIs de pagamento da Stripe.