टोकनाइजेशन (डेटा सुरक्षा)

टोकनाइजेशन, जब डेटा सुरक्षा पर लागू होता है, एक संवेदनशील डेटा तत्व को एक गैर-संवेदनशील समतुल्य के साथ प्रतिस्थापित करने की प्रक्रिया है, जिसे सुरक्षा टोकन के रूप में संदर्भित किया जाता है, जिसका कोई आंतरिक या शोषक अर्थ या मूल्य नहीं है। टोकन एक संदर्भ (यानी पहचानकर्ता) है जो एक टोकननाइजेशन सिस्टम के माध्यम से संवेदनशील डेटा पर वापस मैप करता है। मूल डेटा से एक टोकन तक मैपिंग उन विधियों का उपयोग करती है जो टोकननाइजेशन सिस्टम की अनुपस्थिति में टोकन को उलटने के लिए असंभव बनाती हैं, उदाहरण के लिए यादृच्छिक संख्या पीढ़ी से बनाए गए टोकन का उपयोग करना। मूल डेटा को टोकन में बदलने के लिए एक तरफ़ा क्रिप्टोग्राफ़िक फ़ंक्शन का उपयोग किया जाता है, जिससे टोकननाइज़ेशन सिस्टम के संसाधनों में प्रवेश प्राप्त किए बिना मूल डेटा को फिर से बनाना मुश्किल हो जाता है। ऐसी सेवाएं प्रदान करने के लिए, सिस्टम टोकन का एक वॉल्ट डेटाबेस रखता है जो संबंधित संवेदनशील डेटा से जुड़ा होता है। सिस्टम वॉल्ट की सुरक्षा सिस्टम के लिए महत्वपूर्ण है, और डेटाबेस अखंडता और भौतिक सुरक्षा प्रदान करने के लिए बेहतर प्रक्रियाओं को रखा जाना चाहिए। सुरक्षा सर्वोत्तम प्रथाओं का उपयोग करके टोकन सिस्टम को सुरक्षित और मान्य किया जाना चाहिए संवेदनशील डेटा सुरक्षा, सुरक्षित भंडारण, ऑडिट, प्रमाणीकरण और प्राधिकरण के लिए लागू। टोकनाइजेशन सिस्टम डेटा प्रोसेसिंग एप्लिकेशन को प्राधिकरण के साथ प्रदान करता है और टोकन का अनुरोध करने के लिए इंटरफेस करता है, या संवेदनशील डेटा को वापस डिटोकेनाइज करता है। टोकनाइजेशन के सुरक्षा और जोखिम में कमी के लाभों के लिए आवश्यक है कि टोकनाइजेशन सिस्टम तार्किक रूप से अलग-थलग हो और डेटा प्रोसेसिंग सिस्टम और अनुप्रयोगों से खंडित हो जो पहले टोकन द्वारा प्रतिस्थापित संवेदनशील डेटा को संसाधित या संग्रहीत करते थे। टोकन बनाने के लिए केवल टोकननाइजेशन सिस्टम डेटा को टोकन कर सकता है, या सख्त सुरक्षा नियंत्रणों के तहत संवेदनशील डेटा को रिडीम करने के लिए वापस डीटोकनाइज कर सकता है। टोकन जनरेशन मेथड में यह गुण होना चाहिए कि प्रत्यक्ष हमले, क्रिप्ट एनालिसिस, साइड चैनल विश्लेषण, टोकन मैपिंग टेबल एक्सपोजर या ब्रूट फ़ोर्स तकनीकों के माध्यम से टोकन को लाइव डेटा में वापस लाने के लिए कोई व्यवहार्य साधन नहीं है।

सिस्टम में टोकन के साथ लाइव डेटा को बदलने का उद्देश्य संवेदनशील डेटा के उन अनुप्रयोगों, स्टोर, लोगों और प्रक्रियाओं के जोखिम को कम करना है, समझौता या आकस्मिक जोखिम और संवेदनशील डेटा तक अनधिकृत पहुंच के जोखिम को कम करना है। अनुप्रयोगों को लाइव डेटा के बजाय टोकन का उपयोग करके संचालित किया जा सकता है, एक छोटी संख्या में विश्वसनीय अनुप्रयोगों के अपवाद के साथ स्पष्ट रूप से अनुमोदित व्यावसायिक उद्देश्य के लिए सख्ती से आवश्यक होने पर स्पष्ट रूप से अनुमति दी जाती है। टोकननाइजेशन सिस्टम डेटा सेंटर के एक सुरक्षित पृथक खंड के भीतर या एक सुरक्षित सेवा प्रदाता से सेवा के रूप में संचालित किया जा सकता है।

टोकनाइजेशन का उपयोग संवेदनशील डेटा की सुरक्षा के लिए किया जा सकता है, उदाहरण के लिए, बैंक खाते, वित्तीय विवरण, चिकित्सा रिकॉर्ड, आपराधिक रिकॉर्ड, ड्राइविंग लाइसेंस, ऋण आवेदन, स्टॉक ट्रेड (वित्तीय साधन), मतदाता पंजीकरण, और अन्य प्रकार की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) ). टोकनाइजेशन का उपयोग अक्सर क्रेडिट कार्ड प्रोसेसिंग में किया जाता है। भुगतान कार्ड उद्योग डेटा सुरक्षा मानक टोकननाइजेशन को एक प्रक्रिया के रूप में परिभाषित करता है जिसके द्वारा प्राथमिक खाता संख्या (पैन) को एक सरोगेट मूल्य के साथ बदल दिया जाता है जिसे टोकन कहा जाता है। टोकनाइजेशन प्रक्रिया के माध्यम से एक पैन को एक संदर्भ संख्या से जोड़ा जा सकता है। इस मामले में, व्यापारी को केवल टोकन को बनाए रखना होता है और एक विश्वसनीय तृतीय पक्ष रिश्ते को नियंत्रित करता है और पैन रखता है। टोकन को पैन से स्वतंत्र रूप से बनाया जा सकता है, या पैन को टोकननाइजेशन तकनीक में डेटा इनपुट के हिस्से के रूप में इस्तेमाल किया जा सकता है। पैन और टोकन हासिल करने के लिए हमलावर को इंटरसेप्ट करने से रोकने के लिए व्यापारी और तीसरे पक्ष के आपूर्तिकर्ता के बीच संचार सुरक्षित होना चाहिए। डी-टोकनाइजेशन इसके संबंधित पैन मूल्य के लिए एक टोकन को रिडीम करने की रिवर्स प्रक्रिया है। एक व्यक्तिगत टोकन की सुरक्षा मुख्य रूप से केवल सरोगेट मूल्य जानने वाले मूल पैन को निर्धारित करने की अक्षमता पर निर्भर करती है। कूटलेखन  जैसी अन्य तकनीकों के विकल्प के रूप में टोकननाइजेशन का विकल्प अलग-अलग नियामक आवश्यकताओं, व्याख्या और संबंधित ऑडिटिंग या मूल्यांकन संस्थाओं द्वारा स्वीकृति पर निर्भर करेगा। यह किसी भी तकनीकी, वास्तु या परिचालन बाधा के अतिरिक्त है जो व्यावहारिक उपयोग में टोकननाइजेशन लगाता है।

अवधारणाएं और उत्पत्ति
टोकेनाइजेशन की अवधारणा, जैसा कि आज उद्योग द्वारा अपनाया गया है, अस्तित्व में है क्योंकि सदियों पहले पहली मुद्रा प्रणाली उभरी थी, जो उच्च मूल्य वाले वित्तीय साधनों को सरोगेट समकक्षों के साथ बदलकर जोखिम को कम करने के साधन के रूप में उभरी थी।  भौतिक दुनिया में, टोकन सिक्के का मिंट (सिक्का) और बैंकनोट्स के वित्तीय साधन को बदलने के उपयोग का एक लंबा इतिहास है। अधिक हाल के इतिहास में, सबवे टोकन और कैसीनो चिप्स ने भौतिक मुद्रा और चोरी जैसे नकद प्रबंधन जोखिमों को बदलने के लिए अपने संबंधित सिस्टम के लिए गोद लिया।  छूट  और  थैला  ऐसे सांकेतिक सिक्का पर्यायवाची शब्द हैं।

डिजिटल दुनिया में, वास्तविक डेटा तत्वों को अन्य डेटा सिस्टम के संपर्क से अलग करने के साधन के रूप में 1970 के दशक से समान प्रतिस्थापन तकनीकों का उपयोग किया गया है। उदाहरण के लिए डेटाबेस में, डेटा प्रोसेसिंग में विभिन्न उपयोगों के लिए डेटाबेस के आंतरिक तंत्र और उनके बाहरी समकक्षों से जुड़े डेटा को अलग करने के लिए 1976 से सरोगेट कुंजी मानों का उपयोग किया गया है। हाल ही में, डेटा सुरक्षा के उद्देश्यों के लिए सुरक्षा तंत्र प्रदान करने के लिए इस अलगाव रणनीति पर विचार करने के लिए इन अवधारणाओं को विस्तारित किया गया है।

भुगतान कार्ड उद्योग में, उद्योग मानकों और सरकारी नियमों का पालन करने के लिए संवेदनशील कार्डधारक डेटा की रक्षा करने का एक साधन है। 2001 में, ट्रस्टकामर्स ने क्लाइंट क्लासमेट्स डॉट कॉम के लिए संवेदनशील भुगतान डेटा की सुरक्षा के लिए टोकनाइजेशन की अवधारणा बनाई। इसने ट्रस्टकामर्स के संस्थापक रोब कॉलफ़ील्ड को शामिल किया, क्योंकि कार्ड धारक डेटा को संग्रहीत करने का जोखिम बहुत अधिक था यदि सिस्टम को कभी भी हैक किया गया हो। TrustCommerce ने TC Citadel® विकसित किया है, जिसके साथ ग्राहक कार्ड धारक डेटा के स्थान पर एक टोकन का संदर्भ दे सकते हैं और TrustCommerce व्यापारी की ओर से भुगतान की प्रक्रिया करेगा। इस बिलिंग एप्लिकेशन ने ग्राहकों को कार्डधारक भुगतान जानकारी संग्रहीत करने की आवश्यकता के बिना आवर्ती भुगतानों को संसाधित करने की अनुमति दी। टोकनाइजेशन प्राथमिक खाता संख्या (पैन) को बेतरतीब ढंग से उत्पन्न टोकन के साथ बदल देता है। यदि इंटरसेप्ट किया जाता है, तो डेटा में कार्डधारक की कोई जानकारी नहीं होती है, जो हैकर्स के लिए बेकार है। पैन को पुनः प्राप्त नहीं किया जा सकता है, भले ही टोकन और जिस सिस्टम पर यह रहता है, समझौता किया गया हो, न ही टोकन को पैन पर पहुंचने के लिए रिवर्स इंजीनियर किया जा सकता है।

Shift4 Payments द्वारा भुगतान कार्ड डेटा पर टोकनाइजेशन लागू किया गया था और 2005 में लास वेगास घाटी, नेवादा में एक उद्योग सुरक्षा शिखर सम्मेलन के दौरान जनता के लिए जारी किया गया। प्रौद्योगिकी भंडारण में क्रेडिट कार्ड की जानकारी की चोरी को रोकने के लिए है। Shift4 टोकनाइजेशन को इस प्रकार परिभाषित करता है: "संदर्भ, संवेदनशील या गुप्त डेटा द्वारा प्रतिनिधित्व करने के लिए डेटा के एक गैर-डिक्रिप्टेबल टुकड़े का उपयोग करने की अवधारणा। भुगतान कार्ड उद्योग (पीसीआई) के संदर्भ में, टोकन का उपयोग कार्डधारक डेटा को संदर्भित करने के लिए किया जाता है जिसे टोकननाइजेशन सिस्टम, एप्लिकेशन या ऑफ-साइट सुरक्षित सुविधा में प्रबंधित किया जाता है। अपने पूर्ण जीवनचक्र पर डेटा की सुरक्षा के लिए, टोकननाइजेशन को अक्सर टोकेनाइजेशन सिस्टम या सेवा में ट्रांज़िट में डेटा को सुरक्षित करने के लिए एंड-टू-एंड एन्क्रिप्शन के साथ जोड़ा जाता है, बदले में मूल डेटा को टोकन के साथ बदल दिया जाता है। उदाहरण के लिए, लो-ट्रस्ट सिस्टम जैसे बिक्री केन्द्र (POS) सिस्टम से डेटा चोरी करने वाले मैलवेयर के जोखिम से बचने के लिए, 40-मिलियन-कार्ड-नंबर-लक्षित लक्ष्य 2013 का उल्लंघन, कार्डधारक डेटा एन्क्रिप्शन कार्ड डेटा को पीओएस में प्रवेश करने से पहले होना चाहिए और बाद में नहीं। एन्क्रिप्शन एक सुरक्षा कठोर और मान्य कार्ड रीडिंग डिवाइस की सीमा के भीतर होता है और प्रोसेसिंग होस्ट द्वारा प्राप्त किए जाने तक डेटा एन्क्रिप्टेड रहता है,  हार्टलैंड भुगतान प्रणाली ्स द्वारा अग्रणी एक दृष्टिकोण भुगतान डेटा को उन्नत खतरों से सुरक्षित करने के साधन के रूप में, अब उद्योग भुगतान प्रसंस्करण कंपनियों और प्रौद्योगिकी कंपनियों द्वारा व्यापक रूप से अपनाया गया है। PCI काउंसिल ने विभिन्न सेवा कार्यान्वयनों के लिए एंड-टू-एंड एन्क्रिप्शन (प्रमाणित पॉइंट-टू-पॉइंट एन्क्रिप्शन-P2PE) भी निर्दिष्ट किया है PCI काउंसिल पॉइंट-टू -पॉइंट एन्क्रिप्शन दस्तावेज़।

टोकनकरण प्रक्रिया
टोकनकरण की प्रक्रिया में निम्नलिखित चरण होते हैं:

टोकननाइजेशन सिस्टम स्थापित मानकों के अनुसार कई घटकों को साझा करते हैं।
 * एप्लिकेशन टोकननाइजेशन डेटा और प्रमाणीकरण जानकारी टोकननाइजेशन सिस्टम को भेजता है।
 * एप्लिकेशन टोकननाइजेशन डेटा और प्रमाणीकरण जानकारी टोकननाइजेशन सिस्टम को भेजता है। प्रमाणीकरण विफल होने पर इसे रोक दिया जाता है और डेटा को इवेंट मैनेजमेंट सिस्टम में डिलीवर किया जाता है। नतीजतन, प्रशासक समस्याओं की खोज कर सकते हैं और सिस्टम को प्रभावी ढंग से प्रबंधित कर सकते हैं। प्रमाणीकरण सफल होने पर सिस्टम अगले चरण पर जाता है।
 * एक तरफ़ा क्रिप्टोग्राफ़िक तकनीकों का उपयोग करके, एक टोकन उत्पन्न किया जाता है और अत्यधिक सुरक्षित डेटा वॉल्ट में रखा जाता है।
 * आगे उपयोग के लिए एप्लिकेशन को नया टोकन प्रदान किया गया है।


 * 1) टोकन जनरेशन किसी भी माध्यम का उपयोग करके एक टोकन बनाने की प्रक्रिया है, जैसे कि मजबूत एन्क्रिप्शन एल्गोरिदम और प्रमुख प्रबंधन तंत्र के आधार पर गणितीय रूप से प्रतिवर्ती क्रिप्टोग्राफ़िक फ़ंक्शंस, एक तरफ़ा अपरिवर्तनीय क्रिप्टोग्राफ़िक फ़ंक्शन (जैसे, मजबूत, गुप्त नमक के साथ एक हैश फ़ंक्शन), या बेतरतीब ढंग से उत्पन्न संख्या के माध्यम से असाइनमेंट। रैंडम नंबर जेनरेटर (आरएनजी) तकनीक अक्सर टोकन वैल्यू उत्पन्न करने के लिए सबसे अच्छा विकल्प होती है।
 * 2) टोकन मैपिंग - यह बनाई गई टोकन वैल्यू को उसके मूल मूल्य पर असाइन करने की प्रक्रिया है। सूचकांक के रूप में टोकन का उपयोग करके मूल मूल्य के अनुमत लुक-अप को सक्षम करने के लिए, एक सुरक्षित क्रॉस-रेफरेंस डेटाबेस का निर्माण किया जाना चाहिए।
 * 3) टोकन डेटा स्टोर - यह टोकन मैपिंग प्रक्रिया के लिए एक केंद्रीय भंडार है जो मूल मूल्यों के साथ-साथ टोकन जनरेशन प्रक्रिया के बाद संबंधित टोकन मूल्यों को रखता है। डेटा सर्वर पर, संवेदनशील डेटा और टोकन वैल्यू को एन्क्रिप्टेड प्रारूप में सुरक्षित रूप से रखा जाना चाहिए।
 * 4) एन्क्रिप्टेड डेटा स्टोरेज - यह पारगमन के दौरान संवेदनशील डेटा का एन्क्रिप्शन है।
 * 5) क्रिप्टोग्राफ़िक कुंजियों का प्रबंधन। टोकन डेटा स्टोर्स पर संवेदनशील डेटा एन्क्रिप्शन के लिए मजबूत कुंजी प्रबंधन प्रक्रियाओं की आवश्यकता होती है।

एन्क्रिप्शन से अंतर
टोकनाइजेशन और "क्लासिक" एन्क्रिप्शन प्रभावी रूप से लागू होने पर डेटा की प्रभावी ढंग से रक्षा करते हैं, और एक कंप्यूटर सुरक्षा प्रणाली दोनों का उपयोग कर सकती है। जबकि कुछ मामलों में समान, टोकननाइजेशन और क्लासिक एन्क्रिप्शन कुछ प्रमुख पहलुओं में भिन्न हैं। दोनों क्रिप्टोग्राफी डेटा सुरक्षा विधियां हैं और उनके पास अनिवार्य रूप से एक ही कार्य है, हालांकि वे अलग-अलग प्रक्रियाओं के साथ ऐसा करते हैं और जिस डेटा की वे रक्षा कर रहे हैं उस पर अलग-अलग प्रभाव पड़ते हैं।

टोकनाइजेशन एक गैर-गणितीय दृष्टिकोण है जो संवेदनशील डेटा को गैर-संवेदनशील विकल्पों के साथ डेटा के प्रकार या लंबाई में बदलाव किए बिना बदल देता है। यह एन्क्रिप्शन से एक महत्वपूर्ण अंतर है क्योंकि डेटा की लंबाई और प्रकार में परिवर्तन डेटाबेस जैसे मध्यवर्ती सिस्टम में जानकारी को अपठनीय बना सकता है। टोकन डेटा को अभी भी लीगेसी सिस्टम द्वारा संसाधित किया जा सकता है जो क्लासिक एन्क्रिप्शन की तुलना में टोकननाइज़ेशन को अधिक लचीला बनाता है।

कई स्थितियों में, एन्क्रिप्शन प्रक्रिया प्रसंस्करण शक्ति का एक निरंतर उपभोक्ता है, इसलिए ऐसी प्रणाली को विशेष हार्डवेयर और सॉफ्टवेयर में महत्वपूर्ण व्यय की आवश्यकता होती है।

एक और अंतर यह है कि टोकन को प्रोसेस करने के लिए काफी कम कम्प्यूटेशनल संसाधनों की आवश्यकता होती है। टोकनाइजेशन के साथ, विशिष्ट डेटा को प्रसंस्करण और विश्लेषण के लिए पूरी तरह या आंशिक रूप से दृश्यमान रखा जाता है, जबकि संवेदनशील जानकारी को छिपा कर रखा जाता है। यह टोकनयुक्त डेटा को अधिक तेज़ी से संसाधित करने की अनुमति देता है और सिस्टम संसाधनों पर दबाव कम करता है। यह उच्च प्रदर्शन पर भरोसा करने वाले सिस्टम में एक महत्वपूर्ण लाभ हो सकता है।

एन्क्रिप्शन की तुलना में, टीमवर्क और संचार को सक्षम करते हुए टोकननाइज़ेशन तकनीकें समय, व्यय और प्रशासनिक प्रयास को कम करती हैं।

टोकन के प्रकार
ऐसे कई तरीके हैं जिनसे टोकन को वर्गीकृत किया जा सकता है हालांकि वर्तमान में कोई एकीकृत वर्गीकरण नहीं है। टोकन हो सकते हैं: एकल या बहु-उपयोगी, क्रिप्टोग्राफी या गैर-क्रिप्टोग्राफ़िक, प्रतिवर्ती या अपरिवर्तनीय, प्रामाणिक या गैर-प्रामाणिक, और इसके विभिन्न संयोजन।

भुगतान के संदर्भ में, उच्च और निम्न मूल्य के टोकन के बीच का अंतर एक महत्वपूर्ण भूमिका निभाता है।

हाई-वैल्यू टोकन (एचवीटी)
एचवीटी भुगतान लेनदेन में वास्तविक भुगतान कार्ड नंबर के लिए प्रतिनिधि के रूप में काम करते हैं और भुगतान लेनदेन को पूरा करने के लिए एक साधन के रूप में उपयोग किए जाते हैं। कार्य करने के लिए, उन्हें वास्तविक पैन की तरह दिखना चाहिए। एकाधिक एचवीटी मालिक को इसकी जानकारी के बिना एकल पैन और एकल भौतिक क्रेडिट कार्ड पर वापस मैप कर सकते हैं।

इसके अतिरिक्त, एचवीटी कुछ नेटवर्क और/या व्यापारियों तक सीमित हो सकते हैं जबकि पैन नहीं कर सकते।

एचवीटी को विशिष्ट उपकरणों से भी जोड़ा जा सकता है ताकि टोकन उपयोग, भौतिक उपकरणों और भौगोलिक स्थानों के बीच विसंगतियों को संभावित धोखाधड़ी के रूप में चिह्नित किया जा सके।

कम मूल्य के टोकन (एलवीटी) या सुरक्षा टोकन
एलवीटी भुगतान लेनदेन में वास्तविक पैन के लिए प्रतिनिधि के रूप में भी कार्य करते हैं, हालांकि वे एक अलग उद्देश्य पूरा करते हैं। भुगतान लेनदेन को पूरा करने के लिए एलवीटी का उपयोग स्वयं नहीं किया जा सकता है। एलवीटी के कार्य करने के लिए, इसे वास्तविक पैन से वापस मिलान करना संभव होना चाहिए, भले ही यह केवल कड़े नियंत्रित फैशन में हो। यदि एक टोकन प्रणाली का उल्लंघन किया जाता है, तो पैन की सुरक्षा के लिए टोकन का उपयोग करना अप्रभावी हो जाता है, इसलिए टोकन प्रणाली को सुरक्षित करना अत्यंत महत्वपूर्ण है।

सिस्टम संचालन, सीमाएं और विकास
पहली पीढ़ी के टोकेनाइजेशन सिस्टम लाइव डेटा से सरोगेट स्थानापन्न टोकन और वापस मैप करने के लिए एक डेटाबेस का उपयोग करते हैं। डेटा हानि से बचने के लिए टोकन डेटाबेस में जोड़े गए प्रत्येक नए लेनदेन के लिए भंडारण, प्रबंधन और निरंतर बैकअप की आवश्यकता होती है। एक अन्य समस्या डेटा केंद्रों में निरंतरता सुनिश्चित करना है, जिसके लिए टोकन डेटाबेस के निरंतर तुल्यकालन की आवश्यकता होती है। सीएपी प्रमेय के अनुसार महत्वपूर्ण स्थिरता, उपलब्धता और प्रदर्शन व्यापार-नापसंद, इस दृष्टिकोण से अपरिहार्य हैं। यह ओवरहेड डेटा हानि से बचने और डेटा केंद्रों में डेटा अखंडता को सुनिश्चित करने के लिए रीयल-टाइम लेनदेन प्रसंस्करण में जटिलता जोड़ता है, और पैमाने को भी सीमित करता है। सभी संवेदनशील डेटा को एक सेवा में संग्रहीत करना हमले और समझौता करने के लिए एक आकर्षक लक्ष्य बनाता है, और डेटा इंटरनेट गोपनीयता, विशेष रूप से डेटा सुरक्षा निर्देश के एकत्रीकरण में गोपनीयता और कानूनी जोखिम पेश करता है।

टोकननाइजेशन प्रौद्योगिकियों की एक और सीमा स्वतंत्र सत्यापन के माध्यम से दिए गए समाधान के लिए सुरक्षा के स्तर को माप रही है। मानकों की कमी के साथ, जब नियामक अनुपालन के लिए टोकन का उपयोग किया जाता है तो टोकन की पेशकश की ताकत स्थापित करने के लिए उत्तरार्द्ध महत्वपूर्ण है। भुगतान कार्ड उद्योग सुरक्षा मानक परिषद सुरक्षा और अनुपालन के किसी भी दावे की स्वतंत्र जांच और सत्यापन की सिफारिश करती है: टोकन के उपयोग पर विचार करने वाले व्यापारियों को उनके विशेष कार्यान्वयन की अनूठी विशेषताओं की पहचान करने और दस्तावेज करने के लिए गहन मूल्यांकन और जोखिम विश्लेषण करना चाहिए, जिसमें सभी इंटरैक्शन शामिल हैं। भुगतान कार्ड डेटा और विशेष टोकन सिस्टम और प्रक्रियाएं सुरक्षा के दृष्टिकोण से टोकन बनाने की विधि की भी सीमाएँ हो सकती हैं। यादृच्छिक संख्या जनरेटर हमले के लिए सुरक्षा और हमलों के बारे में चिंताओं के साथ, जो टोकन और टोकन मैपिंग टेबल की पीढ़ी के लिए एक आम पसंद है, यह सुनिश्चित करने के लिए जांच की जानी चाहिए कि सिद्ध और मान्य तरीकों का उपयोग मनमाना डिजाइन बनाम किया जाता है। क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर की गति, एन्ट्रापी, सीडिंग और पूर्वाग्रह के मामले में सीमाएं हैं, और भविष्यवाणी और समझौता से बचने के लिए सुरक्षा गुणों का सावधानीपूर्वक विश्लेषण और मापन किया जाना चाहिए।

टोकनाइजेशन के बढ़ते अपनाने के साथ, इस तरह के परिचालन जोखिमों और जटिलताओं को दूर करने के लिए और विशेष रूप से वित्तीय सेवाओं और बैंकिंग में उच्च प्रदर्शन लेनदेन प्रसंस्करण के उभरते हुए बड़े डेटा उपयोग के मामलों और उच्च प्रदर्शन लेनदेन प्रसंस्करण के अनुकूल बढ़े हुए पैमाने को सक्षम करने के लिए नए टोकन प्रौद्योगिकी दृष्टिकोण उभरे हैं। पारंपरिक टोकेनाइजेशन विधियों के अलावा, प्रोटेग्रिटी अपनी तथाकथित अस्पष्टता परत के माध्यम से अतिरिक्त सुरक्षा प्रदान करती है। यह एक बाधा उत्पन्न करता है जो न केवल नियमित उपयोगकर्ताओं को उन सूचनाओं तक पहुँचने से रोकता है जिन्हें वे नहीं देख पाएंगे बल्कि उन विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी रोकता है जिनके पास पहुँच है, जैसे डेटाबेस प्रशासक। स्टेटलेस टोकेनाइजेशन लाइव डेटा एलिमेंट्स की रैंडम मैपिंग को डेटाबेस की आवश्यकता के बिना मूल्यों को सरोगेट करने में सक्षम बनाता है जबकि टोकनाइजेशन के आइसोलेशन गुणों को बनाए रखता है।

नवंबर 2014, अमेरिकन एक्सप्रेस ने अपनी टोकन सेवा जारी की जो EMV टोकनीकरण मानक को पूरा करती है। EMVCo मानक के अनुसार, टोकन-आधारित भुगतान प्रणाली के अन्य उल्लेखनीय उदाहरणों में Google वॉलेट, Apple Pay, शामिल हैं। सैमसंग पे, माइक्रोसॉफ्ट वॉलेट, फिटबिट पे और गार्मिन पे। वीज़ा इंक एक सुरक्षित ऑनलाइन और मोबाइल खरीदारी प्रदान करने के लिए टोकननाइजेशन तकनीकों का उपयोग करता है। ब्लॉकचैन का उपयोग करते हुए, विश्वसनीय तृतीय पक्षों पर भरोसा करने के विपरीत, लेन-देन के लिए अत्यधिक सुलभ, छेड़छाड़-प्रतिरोधी डेटाबेस चलाना संभव है। ब्लॉकचैन की मदद से, टोकेनाइजेशन एक मूर्त या अमूर्त संपत्ति के मूल्य को एक टोकन में परिवर्तित करने की प्रक्रिया है जिसे नेटवर्क पर एक्सचेंज किया जा सकता है।

उदाहरण के लिए, ब्लॉकचेन तकनीक का उपयोग करके संपत्ति द्वारा समर्थित डिजिटल टोकन में अधिकारों को परिवर्तित करके, यह पारंपरिक वित्तीय संपत्तियों के टोकन को सक्षम बनाता है। इसके अलावा, टोकेनाइजेशन कई उपयोगकर्ताओं में डेटा के सरल और कुशल कंपार्टमेंटलाइज़ेशन और प्रबंधन को सक्षम बनाता है। टोकनाइजेशन के माध्यम से बनाए गए व्यक्तिगत टोकन का उपयोग स्वामित्व को विभाजित करने और संपत्ति को आंशिक रूप से पुनर्विक्रय करने के लिए किया जा सकता है। नतीजतन, केवल उपयुक्त टोकन वाली संस्थाएं ही डेटा तक पहुंच सकती हैं।

कई ब्लॉकचेन कंपनियां एसेट टोकनाइजेशन का समर्थन करती हैं। 2019 में, eToro ने Firmo का अधिग्रहण किया और इसका नाम बदलकर eToroX कर दिया। अपने टोकन मैनेजमेंट सूट के माध्यम से, जो यूएसडी-पेग्ड स्टैब्लॉक्स द्वारा समर्थित है, eToroX एसेट टोकनाइजेशन को सक्षम करता है। STOKR द्वारा इक्विटी के टोकन की सुविधा प्रदान की जाती है, एक ऐसा मंच जो निवेशकों को छोटे और मध्यम आकार के व्यवसायों से जोड़ता है। STOKR प्लेटफॉर्म के माध्यम से जारी किए गए टोकन कानूनी तौर पर यूरोपीय संघ पूंजी बाजार नियमों के तहत हस्तांतरणीय प्रतिभूतियों के रूप में मान्यता प्राप्त हैं। ब्रेकर बौद्धिक संपदा के टोकन को सक्षम करते हैं, जिससे सामग्री निर्माता अपने स्वयं के डिजिटल टोकन जारी कर सकते हैं। विभिन्न परियोजना प्रतिभागियों को टोकन वितरित किए जा सकते हैं। बिचौलियों या शासी निकाय के बिना, सामग्री निर्माता पुरस्कार-साझाकरण सुविधाओं को टोकन में एकीकृत कर सकते हैं।

वैकल्पिक भुगतान प्रणाली के लिए आवेदन
एक वैकल्पिक भुगतान प्रणाली के निर्माण के लिए अंतिम उपयोगकर्ताओं को निकट संचार (एनएफसी) या अन्य प्रौद्योगिकी आधारित भुगतान सेवाओं को वितरित करने के लिए एक साथ काम करने वाली कई संस्थाओं की आवश्यकता होती है। मुद्दों में से एक खिलाड़ियों के बीच अंतर है और इस मुद्दे को हल करने के लिए विश्वसनीय सेवा प्रबंधक (TSM) की भूमिका को मोबाइल नेटवर्क ऑपरेटरों (MNO) और सेवा प्रदाताओं के बीच एक तकनीकी लिंक स्थापित करने का प्रस्ताव है, ताकि ये संस्थाएँ एक साथ काम कर सकें।. ऐसी सेवाओं की मध्यस्थता में टोकनकरण एक भूमिका निभा सकता है।

एक सुरक्षा रणनीति के रूप में टोकनाइजेशन एक वास्तविक कार्ड नंबर को सरोगेट (लक्ष्य हटाने) और सरोगेट कार्ड नंबर (जोखिम में कमी) पर बाद की सीमाओं के साथ बदलने की क्षमता में निहित है। यदि सरोगेट मूल्य का उपयोग असीमित तरीके से या व्यापक रूप से लागू तरीके से भी किया जा सकता है, तो टोकन मूल्य वास्तविक क्रेडिट कार्ड नंबर जितना मूल्य प्राप्त करता है। इन मामलों में, टोकन को दूसरे गतिशील टोकन द्वारा सुरक्षित किया जा सकता है जो प्रत्येक लेनदेन के लिए अद्वितीय है और एक विशिष्ट भुगतान कार्ड से भी जुड़ा हुआ है। गतिशील, लेन-देन-विशिष्ट टोकन के उदाहरण में EMV विनिर्देशन में उपयोग किए जाने वाले क्रिप्टोग्राम शामिल हैं।

पीसीआई डीएसएस मानकों के लिए आवेदन
भुगतान कार्ड उद्योग डेटा सुरक्षा मानक, दिशानिर्देशों का एक उद्योग-व्यापी सेट जो किसी भी संगठन द्वारा पूरा किया जाना चाहिए जो कार्डधारक डेटा को संग्रहीत, संसाधित या प्रसारित करता है, यह अनिवार्य करता है कि संग्रहीत होने पर क्रेडिट कार्ड डेटा को सुरक्षित किया जाना चाहिए। टोकनाइजेशन, जैसा कि भुगतान कार्ड डेटा पर लागू होता है, अक्सर इस शासनादेश को पूरा करने के लिए लागू किया जाता है, कुछ प्रणालियों में क्रेडिट कार्ड और ACH नंबरों को एक यादृच्छिक मान या वर्णों की स्ट्रिंग के साथ बदल दिया जाता है। टोकन को विभिन्न तरीकों से स्वरूपित किया जा सकता है। कुछ टोकन सेवा प्रदाता या टोकननाइजेशन उत्पाद सरोगेट मान इस तरह से उत्पन्न करते हैं जैसे कि मूल संवेदनशील डेटा के प्रारूप से मेल खाते हों। भुगतान कार्ड डेटा के मामले में, एक टोकन प्राथमिक खाता संख्या (बैंक कार्ड नंबर) के समान लंबाई का हो सकता है और इसमें मूल डेटा के तत्व शामिल होते हैं जैसे कार्ड नंबर के अंतिम चार अंक। जब लेन-देन की वैधता को सत्यापित करने के लिए भुगतान कार्ड प्राधिकरण अनुरोध किया जाता है, तो लेन-देन के प्राधिकरण कोड के साथ, कार्ड नंबर के बजाय व्यापारी को एक टोकन वापस किया जा सकता है। टोकन को प्राप्त प्रणाली में संग्रहीत किया जाता है जबकि वास्तविक कार्डधारक डेटा को सुरक्षित टोकननाइजेशन सिस्टम में टोकन में मैप किया जाता है। मजबूत क्रिप्टोग्राफी के उपयोग सहित टोकन और भुगतान कार्ड डेटा का भंडारण वर्तमान पीसीआई मानकों का पालन करना चाहिए।

मानक (एएनएसआई, पीसीआई काउंसिल, वीज़ा, और ईएमवी)
टोकनाइजेशन वर्तमान में ANSI X9 में X9.119 भाग 2 के रूप में मानक परिभाषा में है। X9 भुगतान कार्ड पिन प्रबंधन, क्रेडिट और डेबिट कार्ड एन्क्रिप्शन और संबंधित तकनीकों और प्रक्रियाओं सहित वित्तीय क्रिप्टोग्राफी और डेटा सुरक्षा के लिए उद्योग मानकों के लिए जिम्मेदार है। पीसीआई काउंसिल ने डेटा उल्लंघनों में जोखिम को कम करने के लिए टोकननाइजेशन के लिए समर्थन भी कहा है, जब अन्य तकनीकों जैसे पॉइंट-टू-पॉइंट एन्क्रिप्शन (पी2पीई) और पीसीआई डीएसएस दिशानिर्देशों के अनुपालन के आकलन के साथ जोड़ा जाता है। वीज़ा इंक ने वीज़ा टोकनाइज़ेशन बेस्ट प्रैक्टिस जारी की टोकनाइजेशन के लिए क्रेडिट और डेबिट कार्ड से निपटने वाले अनुप्रयोगों और सेवाओं में उपयोग किया जाता है। मार्च 2014 में, EMVCo LLC ने EMV के लिए अपना पहला भुगतान टोकनीकरण विनिर्देश जारी किया। PCI DSS भुगतान उद्योग के खिलाड़ियों द्वारा उपयोग किए जाने वाले टोकन सिस्टम के लिए सबसे अधिक उपयोग किया जाने वाला मानक है।

जोखिम में कमी
टोकनाइजेशन हमलावरों के लिए टोकनाइजेशन सिस्टम या सेवा के बाहर संवेदनशील डेटा तक पहुंच प्राप्त करना अधिक कठिन बना सकता है। टोकनाइजेशन का कार्यान्वयन भुगतान कार्ड उद्योग डेटा सुरक्षा मानक की आवश्यकताओं को सरल बना सकता है, क्योंकि सिस्टम जो अब संवेदनशील डेटा को संग्रहीत या संसाधित नहीं करते हैं, उनमें पीसीआई डीएसएस दिशानिर्देशों द्वारा आवश्यक लागू नियंत्रणों में कमी हो सकती है।

एक सुरक्षा सर्वोत्तम अभ्यास के रूप में, गोपनीयता अनुपालन, विनियामक अनुपालन, और डेटा सुरक्षा के किसी भी दावे से पहले डेटा सुरक्षा के लिए उपयोग की जाने वाली किसी भी तकनीक का स्वतंत्र मूल्यांकन और सत्यापन, विधि और कार्यान्वयन की सुरक्षा और ताकत स्थापित करने के लिए होना चाहिए। टोकनाइजेशन में यह सत्यापन विशेष रूप से महत्वपूर्ण है, क्योंकि टोकन सामान्य उपयोग में बाहरी रूप से साझा किए जाते हैं और इस प्रकार उच्च जोखिम, कम भरोसेमंद वातावरण में उजागर होते हैं। सेवा या समाधान प्रदाता से स्वतंत्र उपयुक्त विशेषज्ञों द्वारा उद्योग द्वारा स्वीकृत मापों और प्रमाणों का उपयोग करके एक जीवित संवेदनशील डेटा के लिए एक टोकन या टोकन के सेट को उलटने की अक्षमता स्थापित की जानी चाहिए।

टोकन के उपयोग पर प्रतिबंध
सभी संगठनात्मक डेटा को टोकन नहीं किया जा सकता है, और इसकी जांच और फ़िल्टर करने की आवश्यकता है।

जब डेटाबेस का बड़े पैमाने पर उपयोग किया जाता है, तो वे तेजी से विस्तारित होते हैं, जिससे खोज प्रक्रिया में अधिक समय लगता है, सिस्टम प्रदर्शन प्रतिबंधित होता है, और बैकअप प्रक्रिया बढ़ती है। एक डेटाबेस जो संवेदनशील जानकारी को टोकन से जोड़ता है, उसे वॉल्ट कहा जाता है। नए डेटा के साथ, वॉल्ट के रखरखाव का कार्यभार काफी बढ़ जाता है।

डेटाबेस स्थिरता सुनिश्चित करने के लिए, टोकन डेटाबेस को लगातार सिंक्रनाइज़ करने की आवश्यकता होती है।

इसके अलावा, संवेदनशील डेटा और तिजोरी के बीच सुरक्षित संचार चैनल बनाए जाने चाहिए ताकि भंडारण के रास्ते या रास्ते में डेटा से समझौता न किया जा सके।

यह भी देखें

 * अनुकूली सुधार
 * पैन ट्रंकेशन
 * प्रारूप-संरक्षण एन्क्रिप्शन

बाहरी संबंध

 * Cloud vs Payment - Cloud vs Payment - Introduction to tokenization via cloud payments.