[27/07/2022] Mientras los investigadores examinaban la pandemia en relación con la forma en que las empresas se las arreglaron para mantenerse a flote en una situación sin precedentes de este tipo, los auditores evaluaron el aumento de la vulnerabilidad de los datos, la falta de cumplimiento de los mismos y los costos ocasionados por estos acontecimientos. A medida que las empresas se veían obligadas a adaptar nuevos estilos de trabajo y a adaptar las tecnologías, se esforzaban por cumplir las normas de seguridad, como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), y se retrasaban en la respuesta a las violaciones de datos. Un informe de IBM afirmaba que las violaciones de datos cuestan ahora a las empresas una media de 4,24 millones de dólares por incidente, el mayor costo en los 17 años de historia del informe.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Por lo tanto, las empresas necesitan estrategias de seguridad de datos sólidas para anonimizar los datos para su uso, y para prevenir posibles violaciones de la seguridad de los datos. La tokenización de datos es un nuevo tipo de estrategia de seguridad de datos que significa que las empresas pueden operar de forma eficiente y segura al mismo tiempo que cumplen con la normativa de datos. La tokenización de datos se ha convertido en un método muy apreciado por las pequeñas y medianas empresas para aumentar la seguridad de las transacciones de tarjetas de crédito y de comercio electrónico, al tiempo que se reduce el costo y la complejidad del cumplimiento de las normas del sector y de las regulaciones gubernamentales.
La tokenización es el proceso de cambiar los datos sensibles por símbolos de identificación únicos que mantienen toda la información necesaria de los datos sin comprometer su seguridad. La tokenización sustituye los datos mediante la creación de caracteres totalmente aleatorios en el mismo formato.
¿Cómo funciona la tokenización de datos en una empresa?
La tokenización enmascara o sustituye los datos sensibles por datos de identificación únicos, conservando toda la información esencial de los datos. Estos datos equivalentes y únicos de sustitución se denominan token. La tokenización es una forma no destructiva de enmascaramiento de datos en la que los datos originales pueden recuperarse a través de los datos únicos de sustitución; es decir, el token. Hay dos enfoques principales que permiten el cifrado de datos mediante la tokenización de datos:
- Tokenización basada en bóveda
- Tokenización sin bóveda
En el primer caso, una bóveda de tokens sirve como diccionario de valores de datos sensibles y los asigna a valores de tokens, que sustituyen a los valores de datos originales en una base de datos o almacén de datos. Así, una aplicación o un usuario puede acceder al valor original en el diccionario a su token asociado, que puede ser revertido. El almacén de tokens es el único lugar donde la información original puede ser mapeada de nuevo a su token asociado.
El segundo enfoque de tokenización de datos no implica ninguna bóveda. En el caso de la tokenización sin bóveda, los tokens se almacenan utilizando un algoritmo en lugar de una base de datos segura para proteger los datos privados. La información sensible original no suele guardarse en una cámara acorazada si el token es reversible.
Para entenderlo mejor, he aquí un ejemplo de cómo funciona la tokenización con una cámara acorazada de tokens.
Un cliente proporciona su número de tarjeta de crédito para cualquier transacción. En una transacción tradicional, el número de tarjeta de crédito se envía al procesador de pagos, y luego se almacena en los sistemas internos del comerciante para su posterior reutilización. Ahora, veamos cómo se realiza esta transacción tras la implementación de la tokenización de datos.
- Cuando el cliente proporciona su número de tarjeta de crédito para cualquier transacción, el número de tarjeta se envía a un sistema de tokens o bóveda en lugar del procesador de pagos.
- El sistema de tokens o la cámara acorazada sustituye la información sensible del cliente; es decir, el número de la tarjeta de crédito, por una identificación alfanumérica personalizada y creada al azar, es decir, un token.
- A continuación, una vez generado el token, éste se devuelve al terminal de punto de venta del comerciante y al procesador de pagos de forma segura para poder completar la transacción con éxito.
Con la tokenización de datos, las empresas pueden transmitir datos de forma segura a través de las redes inalámbricas. Sin embargo, para la implementación efectiva de la tokenización de datos, las empresas deben emplear una pasarela de pago para almacenar los datos sensibles de forma segura. La información de las tarjetas de crédito se almacena y genera de forma segura en una pasarela de pago.
¿Por qué se necesita la tokenización de datos?
Para una empresa, el objetivo es asegurar cualquier pago sensible o información personal en los sistemas empresariales, y almacenar dichos datos en un entorno seguro. La tokenización de datos ayuda a las empresas a conseguirlo sustituyendo cada conjunto de datos por un token indescifrable.
Aquí hay cinco razones por las que la tokenización es importante para las empresas:
1. Reducir el riesgo de violaciones de datos y sanciones: La tokenización ayuda a proteger a las empresas de los impactos financieros negativos del robo de datos. El proceso de tokenización no blinda los datos personales, protegiéndolos así de cualquier tipo de violación de datos.
Una seguridad comprometida se traduce a menudo en una pérdida directa de ingresos para las empresas, ya que los clientes tienden a cambiar a competidores alternativos que cuidan mejor sus datos de pago.
Las empresas también pueden sufrir pérdidas tras una violación de datos al ser demandadas. Por ejemplo, Zoom tuvo que crear un fondo de 85 millones de dólares para pagar reclamaciones en efectivo a los usuarios de Estados Unidos tras una serie de violaciones de la ciberseguridad, entre las que se incluía el engaño del cifrado de extremo a extremo. Además, el incumplimiento de muchas normas de pago y seguridad puede acarrear fuertes multas y sanciones a las empresas. Por ejemplo, el incumplimiento de la PCI puede dar lugar a multas mensuales de entre cinco mil y 100 mil dólares, impuestas por las compañías de tarjetas de crédito.
2. Construir la confianza del cliente: La tokenización ayuda a las empresas a establecer la confianza con sus clientes. La tokenización ayuda a mantener la seguridad de las transacciones en línea, tanto para los clientes como para las empresas, al garantizar un formato correcto y una transmisión segura de los datos. Esto hace que los datos sensibles sean significativamente menos vulnerables a los ciberataques y al fraude en los pagos.
3. Cumplir con la normativa: La tokenización ayuda a cumplir y mantener el cumplimiento de las normativas del sector; por ejemplo, las empresas que aceptan tarjetas de débito y crédito como métodos necesitan adherirse o cumplir con la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS). La tokenización cumple el requisito de la normativa PCI DSS de enmascarar la información sensible del titular de la tarjeta, y gestionar de forma segura su almacenamiento y eliminación. Así, la tokenización gobierna la seguridad de los datos sensibles asociados a las tarjetas, además de reducir los costos asociados al cumplimiento de la normativa.
4. Impulsar las compras por suscripción: Las compras basadas en suscripciones pueden mejorar gracias a una experiencia más rápida y mejorada del cliente durante el proceso de pago. El proceso de pago más rápido requiere que los clientes almacenen su información de pago de forma segura. La tokenización ayuda a asegurar estos datos financieros, como la información de la tarjeta de crédito, como un token no sensible. Este valor de token permanece indescifrable para los hackers y crea un entorno seguro para los pagos recurrentes. Algunas de las principales pasarelas de pago por móvil, como Google Pay y Apple Pay, ya están aprovechando las ventajas de la tokenización de datos, lo que hace que la experiencia del usuario sea fluida y más segura. La garantía de seguridad también está ayudando a las empresas a convencer a más usuarios para que se registren.
5. Garantizar la seguridad en el intercambio de datos: Las empresas suelen utilizar datos sensibles para otros fines empresariales, como las métricas de marketing, los análisis o los informes. Con la implementación de la tokenización, las empresas pueden minimizar las ubicaciones en las que se permiten los datos sensibles, y garantizar que los datos tokenizados sean accesibles para los usuarios y las aplicaciones que realizan análisis de datos o cualquier otro proceso empresarial. La tokenización puede utilizarse para lograr un acceso con los mínimos privilegios a los datos sensibles, asegurando que los individuos solo tengan acceso a los datos específicos que necesitan para completar una tarea concreta. Así, el proceso de tokenización mantiene la seguridad de los datos sensibles originales.
Conclusión
La obligación de cumplimiento de cualquier organización es, en cierto modo, proporcional al tamaño de sus sistemas: cuantas más aplicaciones utilicen datos sensibles, mayor será la obligación de replantear o actualizar su control de cumplimiento de datos. Por esta razón, el uso de una plataforma de tokenización se está haciendo popular. Las plataformas de tokenización ayudan a las empresas a proteger la información sensible al tiempo que se ocupan del cumplimiento de la normativa de seguridad.
La sustitución de los datos sensibles por tecnologías de tokenización ofrece numerosas ventajas de seguridad y cumplimiento. La reducción del riesgo de seguridad y el alcance de la auditoría son dos ventajas que disminuyen los costos de cumplimiento y facilitan las obligaciones reglamentarias de manejo de datos. Las plataformas de tokenización de datos ofrecen una forma fiable de satisfacer las necesidades de cumplimiento tanto ahora como en el futuro, lo que permite a las empresas concentrar sus recursos en ganar cuota de mercado en tiempos económicos impredecibles.
Basado en el artículo de Yash Mehta (CIO) y editado por CIO Perú
Yash Mehta es un experto internacionalmente reconocido en Internet de las Cosas (IoT), comunicaciones máquina a máquina (M2M) y tecnología de big data. Ha escrito numerosos artículos sobre ciencia de los datos, IoT, innovación empresarial, herramientas, tecnologías de seguridad, estrategias empresariales, desarrollo, etc. Sus artículos han aparecido en las publicaciones más autorizadas y han sido premiados como uno de los trabajos más innovadores e influyentes en la industria de la tecnología conectada por el departamento de IoT de IBM y Cisco. Su trabajo ha aparecido en las principales plataformas del sector especializadas en ciencia de los grandes datos y M2M. Su trabajo fue publicado en la categoría destacada del IEEE Journal (edición mundial - marzo 2016) y fue destacado como experto en inteligencia de negocios.