La crittografia e la tokenizzazione sono entrambe tecniche di sicurezza dei dati. La crittografia codifica i dati sensibili, rendendoli illeggibili senza una chiave di crittografia. La tokenizzazione sostituisce i dati sensibili con informazioni non sensibili (un token), che non ha alcun valore da solo. La diffusione dei pagamenti online e digitali ha comportato un aumento dell'utilizzo di questi metodi di sicurezza: si prevede che il volume delle transazioni di pagamento tokenizzate supererà i mille miliardi a livello globale entro il 2026.
Di seguito spiegheremo le differenze tra crittografia e tokenizzazione, come funzionano, come vengono utilizzate e cosa c'è da sapere perché le attività possano utilizzarle insieme per proteggere i sistemi di pagamento.
Di cosa tratta questo articolo?
- Come funziona la crittografia?
- A cosa serve la crittografia?
- Come funziona la tokenizzazione?
- A cosa serve la tokenizzazione?
- Tokenizzazione e crittografia: differenze principali e interazione tra loro
- Pratiche ottimali per l'utilizzo della crittografia e della tokenizzazione nella tua attività
Come funziona la crittografia?
La crittografia trasforma testo non crittografato, ovvero il formato leggibile dei dati, in testo crittografato, un formato illeggibile. Trasforma i dati utilizzando un algoritmo crittografico (un insieme di regole matematiche che determinano il modo in cui i dati vengono codificati) e una chiave (un'informazione, come una password, utilizzata dall'algoritmo per crittografare e decrittografare i dati).
Ecco un esempio semplificato di funzionamento:
Testo non crittografato: "Ciao"
Chiave: "Secret"
Algoritmo: Cifrario di Cesare (ogni lettera del testo in chiaro è sostituita, nel testo cifrato, dalla lettera che si trova un certo numero di posizioni dopo nell'alfabeto)
Crittografia: l'algoritmo, utilizzando la chiave "Secret", sposta ogni lettera di "Ciao" di tre posizioni, ottenendo il testo cifrato "Fndr".
Solo chi ha la chiave corretta ("Secret") e conosce l'algoritmo (cifrario di Cesare) può decifrare il testo cifrato e ricavare il testo originale.
Esistono molti tipi diversi di algoritmi di crittografia, ognuno con diversi livelli di complessità e sicurezza. Tra gli algoritmi comunemente utilizzati citiamo l'Advanced Encryption Standard (AES) e il Rivest-Shamir-Adleman (RSA).
La complessità della crittografia dipende da diversi fattori, tra cui l'algoritmo utilizzato, la lunghezza e la complessità della chiave e la sicurezza dei sistemi per l'archiviazione e la trasmissione dei dati crittografati.
A cosa serve la crittografia?
La crittografia protegge le informazioni sensibili. Ecco alcune delle sue applicazioni più comuni:
Comunicazione: la crittografia protegge i dati trasmessi tramite le reti, come email, messaggi e transazioni online, in modo che solo le parti autorizzate possano accedere alle informazioni, il che impedisce intercettazioni e manomissioni.
Archiviazione dei dati: la crittografia protegge i dati archiviati su dispositivi e server, rendendoli illeggibili a persone non autorizzate. Questo è importante per le informazioni sensibili, come i dati personali, i registri finanziari e i documenti aziendali riservati.
Protezione con password: la crittografia memorizza e protegge le password. Invece di memorizzare le password in testo non crittografato, la crittografia le converte in hash crittografati. Ciò rende difficile per gli hacker recuperare le password, anche se vi hanno accesso.
Trasferimento di file: la crittografia mantiene riservati i dati quando qualcuno trasferisce file su Internet o altre reti, proteggendo informazioni sensibili come proprietà intellettuale, cartelle cliniche e dati finanziari.
Transazioni finanziarie: la crittografia mantiene riservate le transazioni finanziarie nei sistemi bancari e di pagamento online, proteggendo dati sensibili come numeri di carte di credito e dati dei conti bancari.
Reti private virtuali (Virtual Private Network, VPN): le VPN utilizzano la crittografia per creare connessioni sicure sulle reti pubbliche, consentendo agli utenti di accedere alle risorse in modo sicuro e privato. Le attività utilizzano spesso le VPN per proteggere i dati sensibili trasmessi tra gli uffici e i dipendenti remoti.
Gestione dei diritti digitali (DRM): I sistemi DRM utilizzano la crittografia per controllare l'accesso a materiale protetto da copyright come software, musica e video. In questo modo si impedisce la copia o la distribuzione non autorizzata.
Navigazione: il protocollo HTTPS (Hypertext Transfer Protocol Secure) utilizza la crittografia per proteggere il traffico del sito Web, mantenendo riservati i dati trasmessi tra il browser dell'utente e il server del sito Web.
App di messaggistica: molte app di messaggistica utilizzano la crittografia end-to-end in modo che solo il mittente e il destinatario previsto possano leggere i messaggi. Ciò fornisce un elevato livello di privacy e sicurezza per le comunicazioni sensibili.
Come funziona la tokenizzazione?
La tokenizzazione sostituisce i dati sensibili, come il numero di carta di credito, il numero di previdenza sociale e qualsiasi altra informazione riservata, con un equivalente non sensibile generato in modo casuale, chiamato token. Questo token è una stringa di caratteri che non ha alcun valore o significato intrinseco. Anche se un token viene compromesso, resta inutile per i malintenzionati perché non contiene informazioni sensibili. Gli usi dei token sono numerosi, il che li rende uno strumento versatile per proteggere i dati sensibili.
I sistemi di tokenizzazione gestiscono i token e la loro relazione con i dati originali. Questi sistemi memorizzano i dati sensibili originali in un ambiente altamente sicuro; Questo viene spesso definito un insieme di credenziali di token, che è isolato e protetto da accessi non autorizzati. Il sistema utilizzerà quindi il token al posto dei dati originali durante il completamento di processi come le transazioni. In alcuni casi, il sistema può recuperare i dati sensibili originali dall'insieme di credenziali dei token utilizzando un processo chiamato detokenizzazione, ma in genere lo fa solo quando è assolutamente necessario e con rigorosi controlli di sicurezza. I token sono irreversibili per definizione, il che significa che non possono essere utilizzati per ricavare i dati sensibili originali senza accesso all'archivio di token.
A cosa serve la tokenizzazione?
La tokenizzazione mantiene i dati sensibili sicuri e privati in un'ampia gamma di settori e applicazioni. Ecco alcuni casi d'uso comuni:
Standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS). La tokenizzazione protegge i dati delle carte di credito. Aiuta gli esercenti e gli elaboratori di pagamenti a rispettare le normative PCI DSS riducendo il rischio di violazioni dei dati e frodi.
E-commerce. La tokenizzazione protegge le transazioni online, mettendo in sicurezza i dati di pagamento dei clienti durante l'elaborazione e l'archiviazione. Questo consente di proteggere attività e clienti da perdite finanziarie dovute all'accesso non autorizzato ai dati delle carte.
Sanità. La tokenizzazione protegge le informazioni sanitarie dei pazienti sostituendo elementi di dati sensibili come i numeri di previdenza sociale o i numeri di identificazione medica con token. Questo aiuta gli operatori sanitari a rispettare le normative dell'Health Insurance Portability and Accountability Act (HIPAA) e a proteggere la privacy dei pazienti.
Servizi finanziari. Le applicazioni finanziarie come i pagamenti su dispositivi mobili, le transazioni peer-to-peer e il collegamento di conti utilizzano la tokenizzazione per proteggere i dati finanziari sensibili da accessi non autorizzati e frodi.
Programmi fedeltà. La tokenizzazione protegge i dati dei programmi di fidelizzazione dei clienti, inclusi i punti premio o i numeri di iscrizione, per proteggere le informazioni dei clienti e prevenire l'uso improprio.
Archiviazione dei dati. La tokenizzazione protegge i dati sensibili archiviati nei database o nel cloud, riducendo il rischio di violazioni dei dati e mantenendo le informazioni riservate.
Pubblica amministrazione e settore pubblico. La tokenizzazione protegge i dati sensibili del governo e del settore pubblico, come le informazioni di identificazione, i registri fiscali e i numeri di previdenza sociale.
Tokenizzazione e crittografia: differenze principali e interazione tra loro
La tokenizzazione e la crittografia sono tecniche complementari di sicurezza dei dati che vengono spesso utilizzate insieme. La crittografia trasforma i dati in chiaro in un formato illeggibile (testo crittografato) utilizzando un algoritmo crittografico e una chiave. La tokenizzazione sostituisce i dati sensibili con un valore surrogato noto come token, che non ha alcun valore o significato intrinseco e non ha alcuna relazione matematica con i dati originali.
Ecco alcune delle loro distinzioni e sovrapposizioni funzionali:
Tecnica
|
Crittografia
|
Tokenizzazione
|
---|---|---|
Reversibilità | Annullabile con la chiave corretta | Non annullabile senza accesso all'archivio di token |
Formato dei dati | Altera la struttura originale dei dati | Preserva il formato originale dei dati |
Focus sulla sicurezza | Protegge i dati a riposo e in transito | Protegge principalmente i dati a riposo |
Conformità | Contribuisce a rispettare i requisiti di conformità, ma potrebbe non isolare completamente i dati sensibili | Facilita la conformità rimuovendo i dati sensibili dall'ambiente |
Casi d'uso | Ottimale per i dati che vanno letti ed elaborati nel formato originale | Ottimale per i dati da citare, ma da tenere nascosti |
Tokenizzazione e crittografia insieme contribuiscono a creare una strategia di sicurezza su più livelli. Ecco maggiori dettagli su come interagiscono tra loro:
Tokenizzazione per l'archiviazione. Un utente tokenizza i dati sensibili e li archivia in un database.
Crittografia per la trasmissione. Quando i token devono essere trasmessi per scopi quali l'elaborazione dei pagamenti, l'utente può crittografarli per garantire comunicazioni sicure.
Detokenizzazione (se necessaria). In scenari specifici che richiedono l'accesso ai dati originali, le parti autorizzate possono utilizzare l'insieme di credenziali dei token per detokenizzare i dati in base a protocolli di sicurezza rigorosi.
Esempio di utilizzo congiunto di tokenizzazione e crittografia
Un rivenditore sta memorizzando i dati della carta di credito del cliente. Invece di memorizzare i numeri di carta effettivi, usa la tokenizzazione per sostituirli con i token. Il rivenditore utilizza i token per le transazioni, mentre i numeri di carta effettivi vengono archiviati in modo sicuro in un caveau di token e crittografati per un livello aggiuntivo di protezione.
Pratiche ottimali per l'utilizzo della crittografia e della tokenizzazione nella tua attività
La crittografia e la tokenizzazione sono componenti importanti di un solido sistema di sicurezza dei dati. Di seguito sono riportate alcune pratiche ottimale per implementare standard di sicurezza efficaci e conformi:
Conformità. Comprendi le normative pertinenti in materia di protezione dei dati nel tuo settore (ad esempio, PCI DSS, HIPAA, Regolamento generale sulla protezione dei dati [GDPR]) per assicurarti che le tue prassi di crittografia e tokenizzazione siano conformi.
Controlli di sicurezza. Rivedi e verifica regolarmente le procedure di crittografia e tokenizzazione per identificare potenziali punti deboli e vulnerabilità.
Formazione dei dipendenti. Istruisci i dipendenti sull'importanza della sicurezza dei dati e sulla corretta gestione delle informazioni sensibili.
Piano di risposta agli incidenti. Pianifica una risposta rapida ed efficace a possibili violazioni della sicurezza.
Crittografia
Di seguito sono riportate alcune procedure consigliate per l'utilizzo della crittografia:
Utilizza algoritmi standard del settore come AES con lunghezze di chiave appropriate (ad esempio, AES a 256 bit). Evita algoritmi obsoleti o deboli.
Proteggi le chiavi di crittografia. Conservale in modo sicuro, controlla rigorosamente l'accesso e cambiale regolarmente. Prendi in considerazione l'utilizzo di un modulo di sicurezza hardware (HSM) per una protezione ancora maggiore.
Sottoponi a crittografia i dati sensibili quando sono archiviati sui server, su cloud e quando vengono trasmessi da una rete all'altra.
Utilizza protocolli sicuri come Transport Layer Security (TLS) per crittografare i canali di comunicazione e mantenere riservati i dati trasmessi tra i sistemi.
Tokenizzazione
Di seguito sono riportate alcune pratiche ottimali per l'utilizzo della tokenizzazione:
Dai priorità alla tokenizzazione per i dati altamente sensibili come i numeri di carta di credito, i numeri di previdenza sociale e qualsiasi informazione di identificazione personale (PII).
Archivia i dati originali e la relativa relazione con i token in un archivio di credenziali sicuro, separato dall'ambiente di produzione. Implementa controlli di accesso avanzati e monitoraggio per l'insieme di credenziali.
Prendi in considerazione la tokenizzazione che preserva il formato per mantenere il formato originale dei dati e semplificare l'integrazione con i sistemi e le applicazioni esistenti.
Sviluppa una politica chiara per la generazione, l'utilizzo e il ritiro dei token per garantire che vengano utilizzati in modo appropriato e non diventino obsoleti o vulnerabili.
Combinazione di crittografia e tokenizzazione
Di seguito sono riportate alcune pratiche ottimali per combinare crittografia e tokenizzazione nel sistema di sicurezza:
Combina i punti di forza di entrambe le tecniche per una maggiore sicurezza. Sottoponi a crittografia i dati tokenizzati per proteggerli ulteriormente durante la trasmissione.
Usa la tokenizzazione per i dati più sensibili e sottoponi a crittografia le altre informazioni sensibili per bilanciare la sicurezza con le prestazioni e l'usabilità.
Valuta il rischio associato alle diverse tipologie di dati e applica misure di protezione appropriate. Non tutti i tipi di dati richiedono lo stesso livello di sicurezza.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.