La tokenizzazione in sintesi

La tokenizzazione è una forma di protezione granulare dei dati, che sostituisce dati sensibili con un equivalente non sensibile, indicato come token, che non ha alcun significato o valore estrinseco o sfruttabile. Le informazioni sostitutive non sensibili sono chiamate token.

In altri termini, la tokenizzazione sostituisce i dati sensibili con un segnaposto irreversibile e non sensibile (detto token) e archivia in modo sicuro i dati sensibili originali al di fuori del loro ambiente originale.

La tokenizzazione è popolare tra le banche e altre istituzioni finanziarie, in quanto consente a queste entità di mantenere al sicuro i dati sensibili, come numeri di carte di credito e numeri di conto bancario, pur essendo in grado di archiviare e utilizzare le informazioni.

I token possono essere creati in vari modi, ad esempio:

• Una funzione crittografica matematicamente reversibile con una chiave.
• Una funzione non reversibile, ad esempio una funzione hash.
• Una funzione indice o un numero generato casualmente.

Esistono due tipi di soluzioni di tokenizzazione: quelle con vaults di token e quelle senza. La prima utilizza un database centralizzato sicuro, o “vault” di tokenizzazione, per archiviare una mappatura tra i dati sensibili tokenizzati e il token corrispondente. 

D’altra parte, la tokenizzazione senza vault, genera il token esclusivamente tramite un algoritmo, quindi quando è richiesta la detokenizzazione, il token può essere utilizzato per determinare il valore originale senza bisogno di un vault in cui cercarlo. Negli ultimi anni, la tokenizzazione vaultless è diventata il metodo preferito, in quanto offre una serie di vantaggi significativi come:

• Latenza ridotta
• Riduzione dell’ambito e dei costi di conformità (PCI DSS, GDPR)
• Sicurezza notevolmente migliorata rispetto ai vault di token
• Ingombro di storage dei dati sensibili notevolmente ridotto
• Poiché non esiste un database da gestire, i costi e le risorse ridotti associati al mantenimento della conformità
• Richiede pochi o nessun aggiornamento architetturale e funziona bene con i sistemi legacy

I token possono anche essere suddivisi per:

• Token monouso: utilizzati per rappresentare una singola transazione ed elaborano molto più velocemente rispetto ai token multiuso. Tuttavia, poiché ogni transazione genera un nuovo token, richiede una capacità di archiviazione significativa.
• Token multiuso: rappresenta sempre lo stesso elemento di dati, ad esempio un numero di carta di credito, e può essere utilizzato per più transazioni.

La tokenizzazione rispetto alla crittografia

Tecnicamente parlando, la tokenizzazione è una forma di crittografia. Tuttavia, mentre la tokenizzazione sostituisce un’informazione con un insieme casuale e non correlato di caratteri chiamato token, i metodi di crittografia tradizionali  utilizzano un algoritmo per codificare i dati sensibili. Sebbene non sia possibile estrarre dati sensibili da un token, i dati crittografati possono essere decrittografati e letti utilizzando una chiave di crittografia. 

Dove e quando applicare la tokenizzazione rispetto alla crittografia può essere incredibilmente sfumato: molte organizzazioni utilizzano una combinazione di entrambi. Mentre la crittografia è più facile da scalare e sincronizzare, i token tendono a richiedere molte meno risorse computazionali per l’elaborazione.

Inoltre, poiché la crittografia è reversibile, i dati crittografati sono ancora considerati dati sensibili da alcuni organismi di regolamentazione. I token, d’altra parte, non hanno alcuna relazione matematica con i dati reali che rappresentano e, se violati, non possono ricondurre ai valori dei dati reali. Pertanto, i token non sono considerati dati sensibili e non sono soggetti agli stessi standard normativi dei dati crittografati. 

Autore: Marco Marra