Tokenization: La nuova vita di una vecchia tecnologia

La sostituzione dei dati sensibili con un simbolo univoco che non abbia significato fuori dal circuito in cui viene usato è una tecnologia che nel mondo della sicurezza informatica ha più di dieci anni. Oggi si sta diffondendo rapidamente perché permette di ridurre i rischi delle transazioni, per esempio quelle di pagamento con carte di credito, introducendo un ulteriore strato di sicurezza nel processo.

Processo di tokenization

Processo di tokenization

 

La prima uscita pubblica di un servizio di tokenization applicato al settore delle carte di credito risale a dieci anni, fa alla presentazione a Las Vegas nell’ottobre 2005 del servizio di Shift4, un outsourcer americano di pagamenti online. In realtà un’altra società americana, 3Delta System, già vendeva prodotti di tokenization da due anni. L’idea alla base è la sostituzione dei dati sensibili con un simbolo univoco che conserva tutte le caratteristiche del dato originario ma che viene generato con un metodo che rende non fattibile (si intende, nel periodo di validità del simbolo) l’inversione del processo se non si è in possesso del metodo stesso.

Nel caso delle carte di credito, il dato sensibile è il PAN (primary account number). Il sistema di tokenization applica al PAN un algoritmo che utilizza tabelle di numeri pseudocasuali, ossia che si susseguono con una successione apparentemente senza senso (in realtà non è così, ma torneremo un’altra volta in tema perché l’argomento è vasto e complesso). L’algorimo produce così un token, una sequenza di caratteri alfanumerici che di solito inizia con le ultime quattro cifre del PAN (a volte invece termina con nel prime sei cifre, secondo i sistemi, non esiste uno standard) e contiene oltre al resto del PAN mascherato anche informazioni ulteriori riguardo al detentore della carta e alla transazione specifica con quel merchant specifico. In questo modo il token può essere conservato sui sistemi del merchant senza dover ricorrere a costosissimi sistemi di database sicuri. Il token infatti viene generato da un service provider terzo che si occupa di conservare sui propri sistemi sicuri i riferimenti di corrispondenza tra PAN e token.

Questa caratteristica dei token è stata anche la spinta originaria alla loro adozione nel mondo delle carte di credito. Con l’introduzione dei requisiti DSS (Data Security Standard) dell’associazione PCI, (Payment Card Industry), infatti, ai merchant è fatto divieto di mantenere memorizzati i dati delle carte dei propri clienti se non a certe condizioni molto restrittive. Spesso però per un merchant avere un database dei dati dei clienti è importante, per esempio per gestire il diritto al risarcimento. Mantenere in locale un database di token, collegato al proprio database clienti, richiede accorgimenti di sicurezza meno impegnativi di quelli imposti da PCI DSS. Anche se un hacker si impossessasse del token, non se ne farebbe nulla perché non riuscirebbe a ricavarne il PAN ed inoltre il singolo token è valido solo per quel merchant e per quella transazione.

La tokenization è molto utilizzata anche dai merchant top, soprattutto americani, che si appoggiano a provider specializzati. Questi merchant incoraggiano i loro utenti a salvare il numero della loro carta di credito sul loro sito per poi potere effettuare pagamenti successivi molto velocemente e senza digitazioni (è il principio del 1-Click purchase di Amazon). In realtà la carta di credito viene salvata sul database protetto di Braintree, che restituisce al merchant un token.

Ciò che ha dato però un’accelerazione all’adozione della tokenization è stata il suo inserimento in Apple Pay.

I token sono quindi il futuro e la panacea dei pagamenti in mobilità? Naturalmente no, e ne parleremo il prossimo mese. Però una cosa fanno benissimo: inseriscono un nuovo livello di sicurezza nel sistema e centralizzano la memorizzazione dei dati sensibili in database che possono essere protetti in modo molto più attento e soprattutto sono separati di sistemi di business di front end, che sono quelli più facilmente attaccabili, secondo il principio della segmentazione delle reti che è il nuovo “mantra” della sicurezza online.

Processo di detokenization

Processo di detokenization