Hora de Tokenizar?

A maior mudança no cenário da criptografia desde 2007 foi o surgimento do token, que ajuda a contrabalançar alguns dos mesmos riscos que a criptografia. De forma resumida, a tokenização é o uso de um serviço onde um sistema insere uma informação sigilosa, como um número de cartão de crédito, e recebe um token único, como um número de 64 digitos. Esse número é usado em aplicativos onde quer que você tenha usado os números do cartão de crédito, incluindo banco de dados. Fica claro como esse sistema reduz riscos: se o dado for comprometido, o meliante não terá como reverter o número do token de volta para os números do cartão do crédito.

As empresas podem comprar os software e hardware de tokenização ou usar um serviço terceirizado. Nós vimos grupos de TI criarem suas próprias tecnologias, mas não recomendamos que tentem isso em casa. O segredo está na infraestrutura que executa a tokenização, seja ela externa ou interna. Essa infraestrutura deve ser a mais segura possível já que, basicamente, você estará transferindo os riscos dos bancos de dados e aplicativos para os servidores que armazenam e executam o mapeamento dos dados sigilosos para o token. Se o sistema é mais seguro do que sua infraestrutura geral, você pode ter conseguido reduzir os riscos, mas também chegou ao dilema da concentração. Quanto mais se usa a tokenização, mais dados sigilosos se concentram armazenados em um único lugar.

A concentração também é um problema na criptografia. Em nossa pesquisa, focamos em gerenciamento de chaves, perguntamos como eles lidavam com as chaves de criptografia e o quanto confiavam em suas habilidades de controlar as chaves de criptografia para recuperar dados. A maioria dos entrevistados, 88%, disse ter muita ou total confiança no gerenciamento das chaves. Mas um número significativo demonstrou preocupação sobre permissões e o resultado catastrófico em caso de chaves perdidas.

“Alguns sistemas que usamos foram desenhados para destruir a chave em caso de emergência sem possibilidade de recuperação”, disse um executivo-chefe de operações de uma grande empresa sem fins lucrativos. “Para esses sistemas, que acabam lidando com a maioria das informações pessoais identificáveis, a recuperação de chaves não é um problema. Os dados são inacessíveis para todos.”

fonte: Dados demais, criptografia de menos – Especial