Token (informática)

Cuando los tokens sustituyen a los datos activos en los sistemas, el resultado es una exposición mínima de los datos confidenciales a esas aplicaciones, almacenes, personas y procesos, lo que reduce el riesgo de exposición accidental y de acceso no autorizado a los datos confidenciales.

Por otro lado, la destoquización es el proceso inverso de canjear un token por su valor PAN asociado.

Esto se suma a cualquier restricción técnica, arquitectónica u operativa que la simbología imponga en la práctica.

La tokenización reemplaza el número de tarjeta bancaria (siglas en inglés, PAN) con tokens seguros generados aleatoriamente.

Si se interceptan, los datos no contienen información del titular de la tarjeta, lo que los hace inútiles para los hackers.

El Número de Tarjeta Bancaria no puede ser recuperado incluso si el testigo y los sistemas en los que reside están comprometidos, ni tampoco puede el testigo ser sometido a ingeniería inversa para llegar al PAN.

Ambos son métodos de seguridad de los datos criptográficos y tienen esencialmente la misma función, pero lo hacen con procesos diferentes y tienen efectos distintos en los datos que protegen.

Otra diferencia es que los tokens requieren muchos menos recursos computacionales para su procesamiento.

Con la conversión en tokens, los datos específicos se mantienen total o parcialmente visibles para su procesamiento y análisis, mientras que la información sensible se mantiene oculta.

Esto permite que los datos con tokens se procesen con mayor rapidez y reduce la carga de los recursos del sistema.

Esto puede ser una ventaja clave en los sistemas que dependen de un alto rendimiento.

En lo que respecta a la seguridad y los ataques a los generadores de números aleatorios, que son una opción común para la generación de tokens y las tablas de asignación de tokens, debe aplicarse un escrutinio para garantizar que se utilicen métodos probados y validados frente a un diseño arbitrario.

Hay muchas maneras de clasificar los tokens, pero actualmente no existe una clasificación unificada.

Los TAVs también pueden estar vinculados a dispositivos específicos, de modo que las anomalías entre el uso de tokens, los dispositivos físicos y las ubicaciones geográficas puedan ser marcadas como potencialmente fraudulentas.

Los TBVs no pueden ser utilizados por sí mismos para completar una transacción de pago.

El token se almacena en el sistema receptor mientras que los datos reales del titular de la tarjeta se asignan un token en un sistema seguro de tokens.

La tokenización se encuentra actualmente en la definición de normas en ANSI X9.

[20]​ Cuando se valida adecuadamente y con una evaluación independiente apropiada, la tokenización puede hacer más difícil que los atacantes accedan a datos confidenciales fuera del sistema o servicio de tokenización.

La aplicación de la tokenización puede simplificar los requisitos del PCI DSS, ya que los sistemas que ya no almacenan o procesan datos sensibles pueden tener una reducción de los controles aplicables exigidos por las directrices del PCI DSS.

Esta validación es particularmente importante en la conversión en tokens, ya que los tokens se comparten externamente en el uso general y, por lo tanto, están expuestos en entornos de alto riesgo y baja confianza.

[21]​ Supongamos la siguiente línea de un programa: Los tókenes son: Y se describen por lo general en dos partes, un tipo o clase y un valor, así: Token=(Tipo,Valor) Para la secuencia anterior, los tókenes pueden describirse

Este es un ejemplo simplificado de cómo funciona comúnmente la tokenización de pago móvil a través de una aplicación de teléfono móvil con una tarjeta de crédito. [ 1 ] [ 2 ] ​ En un terminal de pago se pueden utilizar métodos distintos del escaneo de huellas dactilares o números de identificación personal (PIN).