Tokenización (seguridad de datos)

Concepto de seguridad de datos

Este es un ejemplo simplificado de cómo funciona comúnmente la tokenización de pagos móviles a través de una aplicación de teléfono móvil con una tarjeta de crédito . ^{[1] [2]} Se pueden utilizar métodos distintos al escaneo de huellas dactilares o números PIN en una terminal de pago .

La tokenización , cuando se aplica a la seguridad de los datos, es el proceso de sustituir un elemento de datos sensibles por un equivalente no sensible, denominado token , que no tiene ningún significado o valor intrínseco o explotable. El token es una referencia (es decir, un identificador) que se asigna de nuevo a los datos sensibles a través de un sistema de tokenización. La asignación de los datos originales a un token utiliza métodos que hacen que los tokens no sean factibles de revertir en ausencia del sistema de tokenización, por ejemplo, utilizando tokens creados a partir de números aleatorios . ^[3] Se utiliza una función criptográfica unidireccional para convertir los datos originales en tokens, lo que dificulta la recreación de los datos originales sin obtener acceso a los recursos del sistema de tokenización. ^[4] Para prestar dichos servicios, el sistema mantiene una base de datos de bóveda de tokens que están conectados a los datos sensibles correspondientes. Proteger la bóveda del sistema es vital para el sistema, y ​​se deben poner en marcha procesos mejorados para ofrecer integridad de la base de datos y seguridad física. ^[5]

El sistema de tokenización debe protegerse y validarse utilizando las mejores prácticas de seguridad ^[6] aplicables a la protección de datos confidenciales, almacenamiento seguro, auditoría, autenticación y autorización. El sistema de tokenización proporciona a las aplicaciones de procesamiento de datos la autoridad y las interfaces para solicitar tokens o destokenizar los datos confidenciales.

Los beneficios de seguridad y reducción de riesgos de la tokenización requieren que el sistema de tokenización esté lógicamente aislado y segmentado de los sistemas y aplicaciones de procesamiento de datos que anteriormente procesaban o almacenaban datos confidenciales reemplazados por tokens. Solo el sistema de tokenización puede tokenizar datos para crear tokens, o destokenizarlos para canjear datos confidenciales bajo estrictos controles de seguridad. Se debe demostrar que el método de generación de tokens tiene la propiedad de que no existen medios factibles a través de ataques directos, criptoanálisis , análisis de canal lateral, exposición de tablas de mapeo de tokens o técnicas de fuerza bruta para revertir los tokens a datos activos.

El reemplazo de datos en vivo por tokens en los sistemas tiene como objetivo minimizar la exposición de datos confidenciales a esas aplicaciones, tiendas, personas y procesos, reduciendo el riesgo de vulneración o exposición accidental y acceso no autorizado a datos confidenciales. Las aplicaciones pueden operar utilizando tokens en lugar de datos en vivo, con la excepción de una pequeña cantidad de aplicaciones confiables a las que se les permite explícitamente destokenizar cuando sea estrictamente necesario para un propósito comercial aprobado. Los sistemas de tokenización pueden operar internamente dentro de un segmento aislado seguro del centro de datos o como un servicio de un proveedor de servicios seguro.

La tokenización se puede utilizar para proteger datos confidenciales que incluyen, por ejemplo, cuentas bancarias , estados financieros , registros médicos , antecedentes penales , licencias de conducir , solicitudes de préstamos , transacciones bursátiles , registros de votantes y otros tipos de información de identificación personal (PII). La tokenización se utiliza a menudo en el procesamiento de tarjetas de crédito. El PCI Council define la tokenización como "un proceso mediante el cual el número de cuenta principal (PAN) se reemplaza con un valor sustituto llamado token. Un PAN puede vincularse a un número de referencia a través del proceso de tokenización. En este caso, el comerciante simplemente tiene que conservar el token y un tercero confiable controla la relación y posee el PAN. El token puede crearse independientemente del PAN, o el PAN puede usarse como parte de la entrada de datos a la técnica de tokenización. La comunicación entre el comerciante y el proveedor externo debe ser segura para evitar que un atacante la intercepte para obtener el PAN y el token. ^[7]

La destokenización ^[8] es el proceso inverso de canjear un token por su valor PAN asociado. La seguridad de un token individual depende predominantemente de la imposibilidad de determinar el PAN original conociendo únicamente el valor sustituto". ^[9] La elección de la tokenización como alternativa a otras técnicas como el cifrado dependerá de los distintos requisitos regulatorios, la interpretación y la aceptación por parte de las respectivas entidades de auditoría o evaluación. Esto se suma a cualquier restricción técnica, arquitectónica u operativa que la tokenización imponga en el uso práctico.

Conceptos y orígenes

El concepto de tokenización, tal como lo ha adoptado la industria hoy en día, ha existido desde que surgieron los primeros sistemas monetarios hace siglos como un medio para reducir el riesgo en el manejo de instrumentos financieros de alto valor al reemplazarlos con equivalentes sustitutos. ^{[10] [11] [12]} En el mundo físico, los tokens de monedas tienen una larga historia de uso reemplazando el instrumento financiero de monedas y billetes acuñados . En la historia más reciente, las fichas del metro y las fichas de casino encontraron adopción para sus respectivos sistemas para reemplazar la moneda física y los riesgos de manejo de efectivo como el robo. Exonumia y scrip son términos sinónimos de tales tokens.

En el mundo digital, se han utilizado técnicas de sustitución similares desde la década de 1970 como un medio para aislar elementos de datos reales de la exposición a otros sistemas de datos. En las bases de datos, por ejemplo, se han utilizado valores de clave sustitutivos desde 1976 para aislar datos asociados con los mecanismos internos de las bases de datos y sus equivalentes externos para una variedad de usos en el procesamiento de datos. ^{[13] [14]} Más recientemente, estos conceptos se han ampliado para considerar esta táctica de aislamiento para proporcionar un mecanismo de seguridad para los fines de la protección de datos.

En la industria de las tarjetas de pago , la tokenización es un medio para proteger los datos confidenciales de los titulares de las tarjetas a fin de cumplir con los estándares de la industria y las regulaciones gubernamentales. ^[15]

Shift4 Corporation ^[16] aplicó la tokenización a los datos de tarjetas de pago y la hizo pública durante una Cumbre de Seguridad de la industria en Las Vegas , Nevada , en 2005. ^[17] La ​​tecnología está destinada a evitar el robo de la información de tarjetas de crédito almacenada. Shift4 define la tokenización como: “El concepto de utilizar una pieza de datos no descifrable para representar, por referencia, datos confidenciales o secretos. En el contexto de la industria de tarjetas de pago (PCI), los tokens se utilizan para hacer referencia a los datos del titular de la tarjeta que se gestionan en un sistema de tokenización, una aplicación o una instalación segura externa”. ^[18]

Para proteger los datos durante todo su ciclo de vida, la tokenización suele combinarse con el cifrado de extremo a extremo para proteger los datos en tránsito hacia el sistema o servicio de tokenización, con un token que reemplaza los datos originales al regresar. Por ejemplo, para evitar los riesgos de que el malware robe datos de sistemas de baja confianza, como los sistemas de punto de venta (POS), como en la violación de seguridad de Target en 2013, el cifrado de los datos del titular de la tarjeta debe realizarse antes de que los datos de la tarjeta ingresen al POS y no después. El cifrado se realiza dentro de los confines de un dispositivo de lectura de tarjetas validado y reforzado en seguridad y los datos permanecen cifrados hasta que los recibe el host de procesamiento, un enfoque iniciado por Heartland Payment Systems ^[19] como un medio para proteger los datos de pago de amenazas avanzadas, ahora ampliamente adoptado por las empresas de procesamiento de pagos de la industria y las empresas de tecnología. ^[20] El PCI Council también ha especificado el cifrado de extremo a extremo (cifrado punto a punto certificado, P2PE) para varias implementaciones de servicios en varios documentos de cifrado punto a punto del PCI Council.

El proceso de tokenización

El proceso de tokenización consta de los siguientes pasos:

• La aplicación envía los datos de tokenización y la información de autenticación al sistema de tokenización. Se detiene si la autenticación falla y los datos se envían a un sistema de gestión de eventos. Como resultado, los administradores pueden detectar problemas y administrar el sistema de manera eficaz. El sistema pasa a la siguiente fase si la autenticación es exitosa.
• Utilizando técnicas criptográficas unidireccionales, se genera un token y se guarda en una bóveda de datos altamente segura.
• El nuevo token se proporciona a la aplicación para su uso posterior. ^[21]

Los sistemas de tokenización comparten varios componentes según estándares establecidos.

1. La generación de tokens es el proceso de producir un token utilizando cualquier medio, como funciones criptográficas matemáticamente reversibles basadas en algoritmos de cifrado fuertes y mecanismos de gestión de claves, funciones criptográficas unidireccionales no reversibles (por ejemplo, una función hash con una sal secreta fuerte) o la asignación a través de un número generado aleatoriamente. Las técnicas de generador de números aleatorios (RNG) suelen ser la mejor opción para generar valores de tokens.
2. Mapeo de tokens: es el proceso de asignar el valor del token creado a su valor original. Para permitir búsquedas permitidas del valor original utilizando el token como índice, se debe construir una base de datos de referencias cruzadas segura.
3. Almacén de datos de tokens: es un repositorio central para el proceso de asignación de tokens que contiene los valores originales, así como los valores de tokens relacionados después del proceso de generación de tokens. En los servidores de datos, los datos confidenciales y los valores de tokens deben conservarse de forma segura en formato cifrado.
4. Almacenamiento de datos cifrados: es el cifrado de datos confidenciales mientras están en tránsito.
5. Gestión de claves criptográficas. Se requieren procedimientos de gestión de claves sólidos para el cifrado de datos confidenciales en almacenes de datos de tokens. ^[22]

Diferencia con el cifrado

La tokenización y el cifrado “clásico” protegen eficazmente los datos si se implementan correctamente, y un sistema de seguridad informática puede utilizar ambos. Si bien son similares en ciertos aspectos, la tokenización y el cifrado clásico difieren en algunos aspectos clave. Ambos son métodos criptográficos de seguridad de datos y, en esencia, tienen la misma función; sin embargo, lo hacen con procesos diferentes y tienen diferentes efectos sobre los datos que protegen.

La tokenización es un enfoque no matemático que reemplaza datos confidenciales por sustitutos no confidenciales sin alterar el tipo o la longitud de los datos. Esta es una distinción importante con respecto al cifrado, ya que los cambios en la longitud y el tipo de datos pueden hacer que la información sea ilegible en sistemas intermedios como las bases de datos. Los datos tokenizados aún pueden procesarse en sistemas heredados, lo que hace que la tokenización sea más flexible que el cifrado clásico.

En muchas situaciones, el proceso de cifrado es un consumidor constante de potencia de procesamiento, por lo que un sistema de este tipo necesita gastos significativos en hardware y software especializados. ^[4]

Otra diferencia es que los tokens requieren muchos menos recursos computacionales para su procesamiento. Con la tokenización, los datos específicos se mantienen total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. Esto permite que los datos tokenizados se procesen más rápidamente y reduce la presión sobre los recursos del sistema. Esto puede ser una ventaja clave en sistemas que dependen del alto rendimiento.

En comparación con el cifrado, las tecnologías de tokenización reducen el tiempo, los gastos y el esfuerzo administrativo al tiempo que permiten el trabajo en equipo y la comunicación. ^[4]

Tipos de tokens

Existen muchas formas de clasificar los tokens, pero actualmente no existe una clasificación unificada. Los tokens pueden ser: de uso único o múltiple, criptográficos o no criptográficos, reversibles o irreversibles, autenticables o no autenticables y varias combinaciones de estos.

En el contexto de los pagos, la diferencia entre tokens de alto y bajo valor juega un papel importante.

Tokens de alto valor (HVT)

Los HVT sirven como sustitutos de los PAN reales en las transacciones de pago y se utilizan como un instrumento para completar una transacción de pago. Para funcionar, deben parecerse a los PAN reales. Varios HVT pueden asignarse a un solo PAN y a una sola tarjeta de crédito física sin que el propietario lo sepa. Además, los HVT pueden limitarse a ciertas redes o comerciantes, mientras que los PAN no.

Los HVT también se pueden vincular a dispositivos específicos para que las anomalías entre el uso de tokens, los dispositivos físicos y las ubicaciones geográficas se puedan marcar como potencialmente fraudulentas. El bloqueo de HVT mejora la eficiencia al reducir los costos computacionales mientras mantiene la precisión y reduce la vinculación de registros, ya que reduce la cantidad de registros que se comparan. ^[23]

Tokens de bajo valor (LVT) o tokens de seguridad

Los LVT también actúan como sustitutos de los PAN reales en las transacciones de pago, pero su propósito es diferente. Los LVT no se pueden utilizar por sí solos para completar una transacción de pago. Para que un LVT funcione, debe ser posible hacerlo coincidir con el PAN real que representa, aunque solo de una manera estrictamente controlada. El uso de tokens para proteger los PAN se vuelve ineficaz si se viola un sistema de tokenización, por lo que proteger el sistema de tokenización en sí es extremadamente importante.

Operaciones del sistema, limitaciones y evolución

Los sistemas de tokenización de primera generación utilizan una base de datos para mapear desde datos en vivo a tokens sustitutos y viceversa. Esto requiere el almacenamiento, la gestión y la copia de seguridad continua de cada nueva transacción agregada a la base de datos de tokens para evitar la pérdida de datos. Otro problema es asegurar la coherencia entre los centros de datos, lo que requiere una sincronización continua de las bases de datos de tokens. Con este enfoque, es inevitable que se produzcan importantes compensaciones entre la coherencia, la disponibilidad y el rendimiento, según el teorema CAP . Esta sobrecarga agrega complejidad al procesamiento de transacciones en tiempo real para evitar la pérdida de datos y asegurar la integridad de los datos en los centros de datos, y también limita la escala. Almacenar todos los datos confidenciales en un solo servicio crea un objetivo atractivo para los ataques y las vulneraciones, e introduce riesgos legales y de privacidad en la agregación de datos ( privacidad en Internet) , en particular en la UE .

Otra limitación de las tecnologías de tokenización es la medición del nivel de seguridad de una solución determinada mediante una validación independiente. Dada la falta de estándares, esto último es fundamental para establecer la solidez de la tokenización cuando se utilizan tokens para el cumplimiento normativo. El PCI Council recomienda una verificación y validación independientes de cualquier afirmación de seguridad y cumplimiento: "Los comerciantes que estén considerando el uso de la tokenización deben realizar una evaluación y un análisis de riesgos exhaustivos para identificar y documentar las características únicas de su implementación particular, incluidas todas las interacciones con los datos de las tarjetas de pago y los sistemas y procesos de tokenización particulares" ^[24].

El método de generación de tokens también puede tener limitaciones desde una perspectiva de seguridad. Con preocupaciones sobre la seguridad y los ataques a los generadores de números aleatorios , que son una opción común para la generación de tokens y tablas de mapeo de tokens, se debe aplicar un escrutinio para garantizar que se utilicen métodos probados y validados en lugar de un diseño arbitrario. ^{[25] [26]} Los generadores de números aleatorios tienen limitaciones en términos de velocidad, entropía, siembra y sesgo, y las propiedades de seguridad deben analizarse y medirse cuidadosamente para evitar la previsibilidad y el compromiso.

Con la creciente adopción de la tokenización, han surgido nuevos enfoques tecnológicos de tokenización para eliminar dichos riesgos y complejidades operativas y permitir una mayor escalabilidad adecuada para los casos de uso emergentes de big data y el procesamiento de transacciones de alto rendimiento, especialmente en los servicios financieros y la banca. ^[27] Además de los métodos de tokenización convencionales, Protegrity proporciona seguridad adicional a través de su denominada "capa de ofuscación". Esto crea una barrera que impide no solo a los usuarios habituales acceder a información que no verían, sino también a los usuarios privilegiados que tienen acceso, como los administradores de bases de datos. ^[28]

La tokenización sin estado permite el mapeo aleatorio de elementos de datos en vivo a valores sustitutos sin necesidad de una base de datos y conservando las propiedades de aislamiento de la tokenización.

En noviembre de 2014, American Express lanzó su servicio de token que cumple con el estándar de tokenización EMV . ^[29] Otros ejemplos notables de sistemas de pago basados ​​en tokenización, según el estándar EMVCo, incluyen Google Wallet , Apple Pay , ^[30] Samsung Pay , Microsoft Wallet , Fitbit Pay y Garmin Pay . Visa utiliza técnicas de tokenización para proporcionar una compra segura en línea y a través del móvil. ^[31]

Al utilizar blockchain, en lugar de depender de terceros confiables, es posible ejecutar bases de datos altamente accesibles y a prueba de manipulaciones para las transacciones. ^{[32] [33]} Con la ayuda de blockchain, la tokenización es el proceso de convertir el valor de un activo tangible o intangible en un token que se puede intercambiar en la red.

Esto permite la tokenización de activos financieros convencionales, por ejemplo, transformando los derechos en un token digital respaldado por el propio activo utilizando tecnología blockchain. ^[34] Además de eso, la tokenización permite la compartimentación y gestión sencilla y eficiente de datos entre múltiples usuarios. Los tokens individuales creados a través de la tokenización se pueden utilizar para dividir la propiedad y revender parcialmente un activo. ^{[35] [36]} En consecuencia, solo las entidades con el token apropiado pueden acceder a los datos. ^[34]

Numerosas empresas de blockchain respaldan la tokenización de activos. En 2019, eToro adquirió Firmo y cambió su nombre a eToroX. A través de su Token Management Suite, que está respaldada por monedas estables vinculadas al dólar estadounidense, eToroX permite la tokenización de activos. ^{[37] [38]}

La tokenización de capital es facilitada por STOKR, una plataforma que vincula a inversores con pequeñas y medianas empresas. Los tokens emitidos a través de la plataforma STOKR están legalmente reconocidos como valores transferibles según las regulaciones del mercado de capitales de la Unión Europea. ^[39]

Los Breakers permiten la tokenización de la propiedad intelectual, lo que permite a los creadores de contenido emitir sus propios tokens digitales. Los tokens se pueden distribuir a una variedad de participantes del proyecto. Sin intermediarios ni organismos reguladores, los creadores de contenido pueden integrar funciones de distribución de recompensas en el token. ^[39]

Aplicación a sistemas de pago alternativos

Para crear un sistema de pagos alternativo es necesario que varias entidades trabajen juntas para ofrecer servicios de pago basados ​​en tecnología NFC (Near Field Communication) u otros servicios de pago a los usuarios finales. Uno de los problemas es la interoperabilidad entre los actores y, para resolver este problema, se propone el rol del administrador de servicios confiables (Trusted Service Manager, TSM) para establecer un vínculo técnico entre los operadores de redes móviles (MNO) y los proveedores de servicios, de modo que estas entidades puedan trabajar juntas. La tokenización puede desempeñar un papel en la mediación de tales servicios.

La tokenización como estrategia de seguridad se basa en la capacidad de sustituir un número de tarjeta real por un sustituto (eliminación del objetivo) y las consiguientes limitaciones impuestas al número de tarjeta sustituto (reducción del riesgo). Si el valor sustituto se puede utilizar de forma ilimitada o incluso de forma amplia, el valor del token adquiere tanto valor como el número de tarjeta de crédito real. En estos casos, el token puede protegerse mediante un segundo token dinámico que es único para cada transacción y también está asociado a una tarjeta de pago específica. Un ejemplo de tokens dinámicos específicos de la transacción son los criptogramas utilizados en la especificación EMV .

Aplicación a los estándares PCI DSS

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago , un conjunto de pautas de toda la industria que debe cumplir cualquier organización que almacene, procese o transmita datos de titulares de tarjetas, exige que los datos de tarjetas de crédito deben protegerse cuando se almacenan. ^[40] La tokenización, tal como se aplica a los datos de tarjetas de pago, a menudo se implementa para cumplir con este mandato, reemplazando los números de tarjetas de crédito y ACH en algunos sistemas con un valor aleatorio o una cadena de caracteres. ^[41] Los tokens se pueden formatear de diversas formas. ^[42] Algunos proveedores de servicios de tokens o productos de tokenización generan los valores sustitutos de tal manera que coincidan con el formato de los datos confidenciales originales. En el caso de los datos de tarjetas de pago, un token puede tener la misma longitud que un Número de cuenta principal ( número de tarjeta bancaria ) y contener elementos de los datos originales, como los últimos cuatro dígitos del número de tarjeta. Cuando se realiza una solicitud de autorización de tarjeta de pago para verificar la legitimidad de una transacción, se puede devolver un token al comerciante en lugar del número de tarjeta, junto con el código de autorización para la transacción. El token se almacena en el sistema receptor mientras que los datos reales del titular de la tarjeta se asignan al token en un sistema de tokenización seguro. El almacenamiento de tokens y datos de tarjetas de pago debe cumplir con los estándares PCI actuales, incluido el uso de criptografía fuerte. ^[43]

Estándares (ANSI, PCI Council, Visa y EMV)

La tokenización se encuentra actualmente en la definición de estándares en ANSI X9 como X9.119 Parte 2. X9 es responsable de los estándares de la industria para criptografía financiera y protección de datos, incluyendo administración de PIN de tarjetas de pago, cifrado de tarjetas de crédito y débito y tecnologías y procesos relacionados. El PCI Council también ha manifestado su apoyo a la tokenización para reducir el riesgo de violaciones de datos, cuando se combina con otras tecnologías como el cifrado punto a punto (P2PE) y evaluaciones de cumplimiento con las pautas PCI DSS. ^[44] Visa Inc. publicó Visa Tokenization Best Practices ^[45] para usos de tokenización en aplicaciones y servicios de manejo de tarjetas de crédito y débito. En marzo de 2014, EMVCo LLC publicó su primera especificación de tokenización de pagos para EMV . ^[46] PCI DSS es el estándar utilizado con más frecuencia para sistemas de tokenización utilizados por los actores de la industria de pagos. ^[22]

Reducción de riesgos

La tokenización puede dificultar a los atacantes el acceso a datos confidenciales fuera del sistema o servicio de tokenización. La implementación de la tokenización puede simplificar los requisitos de PCI DSS , ya que los sistemas que ya no almacenan ni procesan datos confidenciales pueden tener una reducción de los controles aplicables requeridos por las pautas de PCI DSS.

Como práctica recomendada en materia de seguridad, ^[47] se debe llevar a cabo una evaluación y validación independientes de todas las tecnologías utilizadas para la protección de datos, incluida la tokenización, para establecer la seguridad y la solidez del método y la implementación antes de poder hacer cualquier afirmación de cumplimiento de la privacidad, el cumplimiento normativo y la seguridad de los datos. Esta validación es particularmente importante en la tokenización, ya que los tokens se comparten externamente en el uso general y, por lo tanto, están expuestos a entornos de alto riesgo y baja confianza. La inviabilidad de revertir un token o un conjunto de tokens a datos sensibles en vivo debe establecerse utilizando mediciones y pruebas aceptadas por la industria por parte de expertos apropiados independientes del proveedor del servicio o la solución.

Restricciones en el uso de tokens

No todos los datos de la organización se pueden tokenizar, y es necesario examinarlos y filtrarlos.

Cuando las bases de datos se utilizan a gran escala, se expanden exponencialmente, lo que hace que el proceso de búsqueda tome más tiempo, restringe el rendimiento del sistema y aumenta los procesos de copia de seguridad. Una base de datos que vincula información confidencial a tokens se denomina bóveda. Con la incorporación de nuevos datos, la carga de trabajo de mantenimiento de la bóveda aumenta significativamente.

Para garantizar la coherencia de la base de datos, las bases de datos de tokens deben sincronizarse continuamente.

Además de eso, se deben construir canales de comunicación seguros entre los datos confidenciales y la bóveda para que los datos no se vean comprometidos en el camino hacia o desde el almacenamiento. ^[4]

Véase también

• Redacción adaptativa
• Truncamiento de PAN
• Formato que preserva el cifrado

Referencias

1. "La tokenización desmitificada". IDEMIA . 19 de septiembre de 2017. Archivado desde el original el 26 de enero de 2018 . Consultado el 26 de enero de 2018 .
2. "Explicación de la tokenización de pagos". Square . 8 de octubre de 2014. Archivado desde el original el 2018-01-02 . Consultado el 2018-01-26 .
3. CardVault: "Tokenización 101"
4. Ogigau-Neamtiu, F. (2016). "La tokenización como técnica de seguridad de datos". Estudios de Gestión de Recursos del Departamento Regional de Defensa. Zeszyty Naukowe AON . 2 (103). Brasov, Rumania: Akademia Sztuki Wojennej: 124-135. ISSN  0867-2245.
5. Ogîgău-Neamţiu, F. (2017). "Automatización del proceso de seguridad de datos". Revista de Gestión de Recursos de Defensa (JoDRM) . 8 (2).
6. "Proyecto Top Ten de OWASP". Archivado desde el original el 1 de diciembre de 2019. Consultado el 1 de abril de 2014 .
7. Stapleton, J.; Poore, RS (2011). "Tokenización y otros métodos de seguridad para los datos de los titulares de tarjetas". Revista de seguridad de la información: una perspectiva global . 20 (2): 91–99. doi :10.1080/19393555.2011.560923. S2CID  46272415.
8. Y., Habash, Nizar (2010). Introducción al procesamiento del lenguaje natural árabe. Morgan & Claypool. ISBN 978-1-59829-796-6.OCLC 1154286658  .{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )
9. Pautas de tokenización PCI DSS
10. Rolfe, Alex (mayo de 2015). «La caída y el auge de la tokenización» . Consultado el 27 de septiembre de 2022 .
11. Xu, Xiwei; Pautasso, Cesare; Zhu, Liming; Lu, Qinghua; Weber, Ingo (4 de julio de 2018). "Una colección de patrones para aplicaciones basadas en blockchain". Actas de la 23.ª Conferencia Europea sobre lenguajes de patrones de programas . EuroPLoP '18. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 1–20. doi :10.1145/3282308.3282312. ISBN 978-1-4503-6387-7.S2CID57760415  .​
12. Millmore, B.; Foskolou, V.; Mondello, C.; Kroll, J.; Upadhyay, S.; Wilding, D. "Tokens: cultura, conexiones, comunidades: programa final" (PDF) . La Universidad de Warwick.
13. Link, S.; Luković, I.; Mogin, P. (2010). "Evaluación del rendimiento de arquitecturas de bases de datos con claves naturales y sustitutas". Facultad de Ingeniería y Ciencias de la Computación, Universidad Victoria de Wellington .
14. Hall, P.; Owlett, J.; Todd, S. (1976). "Relaciones y entidades. Modelado en sistemas de gestión de bases de datos". GM Nijssen. {{cite web}}: Falta o está vacío |url=( ayuda )
15. "La tokenización facilita el cumplimiento de la normativa PCI por parte de los comerciantes". Archivado desde el original el 2012-11-03 . Consultado el 2013-03-28 .
16. "Shift4 Corporation publica un informe técnico detallado sobre tokenización". Reuters . Archivado desde el original el 13 de marzo de 2014. Consultado el 2 de julio de 2017 .
17. "Shift4 lanza una herramienta de seguridad que permite a los comerciantes reutilizar los datos de las tarjetas de crédito". Internet Retailer . Archivado desde el original el 18 de febrero de 2015.
18. "Shift4 Corporation publica un informe técnico detallado sobre tokenización". Archivado desde el original el 16 de julio de 2011. Consultado el 17 de septiembre de 2010 .
19. "Lecciones aprendidas de una filtración de datos" (PDF) . Archivado desde el original (PDF) el 2013-05-02 . Consultado el 2014-04-01 .
20. Voltage, socio de Ingencio en la plataforma de cifrado de datos
21. Ogigau-Neamtiu, F. (2016). "La tokenización como técnica de seguridad de datos". Zeszyty Naukowe AON . 2 (103). ISSN  0867-2245.
22. Ozdenizci, Busra; Ok, Kerem; Coskun, Vedat (30 de noviembre de 2016). "Una arquitectura de comunicación basada en tokenización para servicios NFC habilitados para HCE". Sistemas de información móvil . 2016 : e5046284. doi : 10.1155/2016/5046284 . hdl : 11729/1190 . ISSN  1574-017X.
23. O'hare, K., Jurek-Loughrey, A. y De Campos, C. (2022). Bloqueo de tokens de alto valor: método de bloqueo eficiente para vinculación de registros. Transacciones ACM sobre descubrimiento de conocimiento a partir de datos, 16(2), 1–17. https://doi.org/10.1145/3450527
24. Directrices de tokenización del PCI Council
25. Cómo saber si un RNG está funcionando?
26. Gimenez, Gregoire; Cherkaoui, Abdelkarim; Frisch, Raphael; Fesquet, Laurent (1 de julio de 2017). "Generador de números aleatorios verdaderos basado en anillos con temporizador automático: modelo de amenaza y contramedidas". 2017 IEEE 2nd International Verification and Security Workshop (IVSW) . Tesalónica, Grecia: IEEE. págs. 31–38. doi :10.1109/IVSW.2017.8031541. ISBN . 978-1-5386-1708-3.S2CID10190423  .​
27. Vijayan, Jaikumar (12 de febrero de 2014). "Los bancos presionan para que se cree un estándar de tokenización para proteger los pagos con tarjeta de crédito". Computerworld . Consultado el 23 de noviembre de 2022 .
28. Mark, SJ (2018). "Desidentificación de información personal para su uso en pruebas de software a fin de garantizar el cumplimiento de la Ley de Protección de Información Personal".
29. "American Express presenta nuevos servicios de seguridad para pagos en línea y móviles". AmericanExpress.com . 3 de noviembre de 2014. Archivado desde el original el 2014-11-04 . Consultado el 2014-11-04 .
30. "Guía de programación de Apple Pay: Acerca de Apple Pay". developer.apple.com . Consultado el 23 de noviembre de 2022 .
31. "Servicio de token Visa". usa.visa.com . Consultado el 23 de noviembre de 2022 .
32. Beck, Roman; Avital, Michel; Rossi, Matti; Thatcher, Jason Bennett (1 de diciembre de 2017). "Tecnología blockchain en la investigación de sistemas de información y negocios". Ingeniería de sistemas de información y negocios . 59 (6): 381–384. doi : 10.1007/s12599-017-0505-1 . ISSN  1867-0202. S2CID  3493388.
33. Çebi, F.; Bolat, HB; Atán, T.; Erzurumlu, Ö. Y. (2021). "Cumbre internacional de gestión de ingeniería y tecnología 2021 – Libro de actas de ETMS2021". Universidad Técnica de Estambul y Universidad de Bahçeşehir. ISBN 978-975-561-522-6.
34. Morrow; Zarrebini (22 de octubre de 2019). "Blockchain y la tokenización del individuo: implicaciones sociales". Internet del futuro . 11 (10): 220. doi : 10.3390/fi11100220 . ISSN  1999-5903.
35. Tian, ​​Yifeng; Lu, Zheng; Adriaens, Peter; Minchin, R. Edward; Caithness, Alastair; Woo, Junghoon (2020). "Infraestructura financiera a través de la tokenización basada en blockchain". Frontiers of Engineering Management . 7 (4): 485–499. doi :10.1007/s42524-020-0140-2. ISSN  2095-7513. S2CID  226335872.
36. Ross, Omri; Jensen, Johannes Rude; Asheim, Truls (16 de noviembre de 2019). "Activos bajo tokenización". Rochester, Nueva York. doi :10.2139/ssrn.3488344. S2CID  219366539. SSRN  3488344. {{cite journal}}: Requiere citar revista |journal=( ayuda )
37. Tabatabai, Arman (25 de marzo de 2019). «La plataforma de inversión social eToro adquiere la startup de contratos inteligentes Firmo». TechCrunch . Consultado el 23 de noviembre de 2022 .
38. "eToroX nombra a Omri Ross como científico jefe de blockchain". Noticias financieras y empresariales | Finance Magnates . 27 de marzo de 2019 . Consultado el 23 de noviembre de 2022 .
39. Sazandrishvili, George (2020). "Tokenización de activos en lenguaje sencillo". Revista de contabilidad y finanzas corporativas . 31 (2): 68–73. doi :10.1002/jcaf.22432. ISSN  1044-8136. S2CID  213916347.
40. El estándar de seguridad de datos de la industria de tarjetas de pago
41. "Tokenización: procesamiento de pagos con tokenización conforme a PCI". Bluefin Payment Systems . Consultado el 14 de enero de 2016 .
42. "PCI Vault: algoritmos de tokenización". PCI Vault . Consultado el 23 de junio de 2024 .
43. "Seguridad de datos: Contrapunto: "La mejor manera de proteger los datos no es almacenarlos"" (PDF) . Archivado desde el original (PDF) el 2009-07-31 . Consultado el 2009-06-17 .
44. "Protección de la información del consumidor: ¿se pueden prevenir las violaciones de datos?" (PDF) . Archivado desde el original (PDF) el 2014-04-07 . Consultado el 2014-04-01 .
45. Mejores prácticas de tokenización de Visa
46. "Especificación de tokenización de pagos EMV: marco técnico". Marzo de 2014. Archivado desde el original el 14 de octubre de 2016. Consultado el 4 de noviembre de 2014 .
47. "Guía de criptografía de OWASP". Archivado desde el original el 7 de abril de 2014. Consultado el 1 de abril de 2014 .

Enlaces externos

• Nube vs Pago - Nube vs Pago - Introducción a la tokenización a través de pagos en la nube.