टोकनाइजेशन (डेटा सुरक्षा)

टोकनाइजेशन, जब आँकड़ा सुरक्षा पर लागू होता है, एक संवेदनशील आँकड़ा तत्व को एक गैर-संवेदनशील समतुल्य के साथ प्रतिस्थापित करने की प्रक्रिया है, जिसे सुरक्षा टोकन के रूप में संदर्भित किया जाता है, जिसका कोई आंतरिक या शोषक अर्थ या मूल्य नहीं है। टोकन एक संदर्भ (यानी पहचानकर्ता) है जो एक टोकननाइजेशन प्रणाली के माध्यम से संवेदनशील आँकड़े पर वापस मैप करता है। मूल आँकड़े से एक टोकन तक मैपिंग उन विधियों का उपयोग करती है जो टोकननाइजेशन प्रणाली की अनुपस्थिति में टोकन को उलटने के लिए असंभव बनाती हैं, उदाहरण के लिए यादृच्छिक संख्या पीढ़ी से बनाए गए टोकन का उपयोग करना। मूल आँकड़े को टोकन में बदलने के लिए एक तरफ़ा गूढ़लेखिकी फलन का उपयोग किया जाता है, जिससे टोकननाइज़ेशन प्रणाली के संसाधनों में प्रवेश प्राप्त किए बिना मूल आँकड़े को फिर से बनाना मुश्किल हो जाता है। ऐसी सेवाएं प्रदान करने के लिए, प्रणाली टोकन का एक कोष्ठ आँकड़ा बेस रखता है जो संबंधित संवेदनशील आँकड़े से जुड़ा होता है। प्रणाली कोष्ठ की सुरक्षा प्रणाली के लिए महत्वपूर्ण है, और आँकड़ा बेस अखंडता और भौतिक सुरक्षा प्रदान करने के लिए बेहतर प्रक्रियाओं को रखा जाना चाहिए। सुरक्षा सर्वोत्तम प्रथाओं का उपयोग करके टोकन प्रणाली को सुरक्षित और मान्य किया जाना चाहिए संवेदनशील आँकड़ा सुरक्षा, सुरक्षित भंडारण, अंकेक्षण, प्रमाणीकरण और प्राधिकरण के लिए लागू है। टोकनाइजेशन प्रणाली आँकड़ा प्रक्रमण उपयोग को प्राधिकरण के साथ प्रदान करता है और टोकन का अनुरोध करने के लिए अंतरापृष्ठ करता है, या संवेदनशील आँकड़ा को वापस डिटोकेनाइज करता है। टोकनाइजेशन के सुरक्षा और जोखिम में कमी के लाभों के लिए आवश्यक है कि टोकनाइजेशन प्रणाली तार्किक रूप से अलग-थलग हो और आँकड़ा प्रक्रमण प्रणाली और अनुप्रयोगों से खंडित हो जो पहले टोकन द्वारा प्रतिस्थापित संवेदनशील आँकड़ा को संसाधित या संग्रहीत करते थे। टोकन बनाने के लिए केवल टोकननाइजेशन प्रणाली आँकड़े को टोकन कर सकता है, या सख्त सुरक्षा नियंत्रणों के तहत संवेदनशील आँकड़े को भुनाने के लिए वापस डीटोकनाइज कर सकता है। टोकन उत्पादन विधि में यह गुण होना चाहिए कि प्रत्यक्ष हमले, क्रिप्ट विश्लेषण, पार्श्व चैनल विश्लेषण, टोकन मैपिंग टेबल अपावरण या पशुपन तकनीकों के माध्यम से टोकन को सजीव आँकड़ा में वापस लाने के लिए कोई व्यवहार्य साधन नहीं है।

प्रणाली में टोकन के साथ सजीव आँकड़े को बदलने का उद्देश्य संवेदनशील आँकड़े के उन अनुप्रयोगों, भंडार, लोगों और प्रक्रियाओं के जोखिम को कम करना है, समझौता या आकस्मिक जोखिम और संवेदनशील आँकड़े तक अनधिकृत पहुंच के जोखिम को कम करना है। अनुप्रयोगों को सजीव आँकड़े के बजाय टोकन का उपयोग करके संचालित किया जा सकता है, एक छोटी संख्या में विश्वसनीय अनुप्रयोगों के अपवाद के साथ स्पष्ट रूप से अनुमोदित व्यावसायिक उद्देश्य के लिए सख्ती से आवश्यक होने पर स्पष्ट रूप से अनुमति दी जाती है। टोकननाइजेशन प्रणाली आँकड़ा सेंटर के एक सुरक्षित पृथक खंड के भीतर या एक सुरक्षित सेवा प्रदाता से सेवा के रूप में संचालित किया जा सकता है।

टोकनाइजेशन का उपयोग संवेदनशील आँकड़े की सुरक्षा के लिए किया जा सकता है, उदाहरण के लिए, बैंक खाते, वित्तीय विवरण, चिकित्सा अभिलेख, आपराधिक अभिलेख, चालक लाइसेंस, ऋण आवेदन, शेयर व्यापार (वित्तीय साधन), मतदाता पंजीकरण, और अन्य प्रकार की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) ). टोकनाइजेशन का उपयोग अक्सर क्रेडिट कार्ड प्रक्रमण में किया जाता है। भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक टोकननाइजेशन को एक प्रक्रिया के रूप में परिभाषित करता है जिसके द्वारा प्राथमिक खाता संख्या (पैन) को एक प्रतिनिधिक मूल्य के साथ बदल दिया जाता है जिसे टोकन कहा जाता है। टोकनाइजेशन प्रक्रिया के माध्यम से एक पैन को एक संदर्भ संख्या से जोड़ा जा सकता है। इस मामले में, व्यापारी को केवल टोकन को बनाए रखना होता है और एक विश्वसनीय तृतीय पक्ष सम्बन्ध को नियंत्रित करता है और पैन रखता है। टोकन को पैन से स्वतंत्र रूप से बनाया जा सकता है, या पैन को टोकननाइजेशन तकनीक में आँकड़ा निविष्ट के हिस्से के रूप में इस्तेमाल किया जा सकता है। पैन और टोकन हासिल करने के लिए आक्रामक को विच्छेदक करने से रोकने के लिए व्यापारी और तीसरे पक्ष के आपूर्तिकर्ता के बीच संचार सुरक्षित होना चाहिए। डी-टोकनाइजेशन इसके संबंधित पैन मूल्य के लिए एक टोकन को भुनाने की विपरीत प्रक्रिया है। एक व्यक्तिगत टोकन की सुरक्षा मुख्य रूप से केवल प्रतिनिधिक मूल्य जानने वाले मूल पैन को निर्धारित करने की अक्षमता पर निर्भर करती है। कूटलेखन  जैसी अन्य तकनीकों के विकल्प के रूप में टोकननाइजेशन का विकल्प अलग-अलग नियामक आवश्यकताओं, व्याख्या और संबंधित अंकेक्षणिंग या मूल्यांकन संस्थाओं द्वारा स्वीकृति पर निर्भर करेगा। यह किसी भी तकनीकी, वास्तु या परिचालन बाधा के अतिरिक्त है जो व्यावहारिक उपयोग में टोकननाइजेशन लगाता है।

अवधारणाएं और उत्पत्ति
टोकेनाइजेशन की अवधारणा, जैसा कि आज उद्योग द्वारा अपनाया गया है, अस्तित्व में है क्योंकि सदियों पहले पहली मुद्रा प्रणाली उभरी थी, जो उच्च मूल्य वाले वित्तीय साधनों को प्रतिनिधिक समकक्षों के साथ बदलकर जोखिम को कम करने के साधन के रूप में उभरी थी।  भौतिक दुनिया में, टोकन सिक्के का मिंट (सिक्का) और बैंकनोट के वित्तीय साधन को बदलने के उपयोग का एक लंबा इतिहास है। हाल के इतिहास में, सबवे टोकन और कैसीनो चिप्स ने भौतिक मुद्रा और चोरी जैसे नकद प्रबंधन जोखिमों को बदलने के लिए अपने संबंधित प्रणाली के लिए गोद लिया। एक्सोन्यूमा और प्रतिभूति पत्र ऐसे सांकेतिक टोकन पर्यायवाची शब्द हैं।

डिजिटल दुनिया में, वास्तविक आँकड़ा तत्वों को अन्य आँकड़ा प्रणाली के संपर्क से अलग करने के साधन के रूप में 1970 के दशक से समान प्रतिस्थापन तकनीकों का उपयोग किया गया है। उदाहरण के लिए आँकड़ाबेस में, आँकड़ा प्रक्रमण में विभिन्न उपयोगों के लिए आँकड़ाबेस के आंतरिक तंत्र और उनके बाहरी समकक्षों से जुड़े आँकड़ा को अलग करने के लिए 1976 से प्रतिनिधिक कुंजी मानों का उपयोग किया गया है। हाल ही में, आँकड़ा सुरक्षा के उद्देश्यों के लिए सुरक्षा तंत्र प्रदान करने के लिए इस अलगाव रणनीति पर विचार करने के लिए इन अवधारणाओं को विस्तारित किया गया है।

भुगतान कार्ड उद्योग में, उद्योग मानकों और सरकारी नियमों का पालन करने के लिए संवेदनशील कार्डधारक आँकड़ा की रक्षा करने का एक साधन है। 2001 में, ट्रस्टकामर्स ने क्लाइंट क्लासमेट्स डॉट कॉम के लिए संवेदनशील भुगतान आँकड़ा की सुरक्षा के लिए टोकनाइजेशन की अवधारणा बनाई। इसने ट्रस्टकामर्स के संस्थापक रोब कॉलफ़ील्ड को शामिल किया, क्योंकि यदि सिस्टम कभी हैक किया गया था तो कार्ड धारक डेटा को संग्रहीत करने का जोखिम बहुत अधिक था। ट्रस्टकामर्स ने टीसी साइटाडेल® विकसित किया है, जिसके साथ कार्ड धारक ग्राहक आँकड़ा के स्थान पर एक टोकन का संदर्भ दे सकते हैं और ट्रस्टकामर्स व्यापारी की ओर से भुगतान की प्रक्रिया करेगा। इस बिलिंग उपयोग ने ग्राहकों को कार्डधारक भुगतान जानकारी संग्रहीत करने की आवश्यकता के बिना आवर्ती भुगतानों को संसाधित करने की अनुमति दी। टोकनाइजेशन प्राथमिक खाता संख्या (पैन) को बेतरतीब ढंग से उत्पन्न टोकन के साथ बदल देता है। यदिअंतःखंडित किया जाता है, तो आँकड़ा में कार्डधारक की कोई जानकारी नहीं होती है, जो हैकर्स के लिए बेकार है। पैन को पुनः प्राप्त नहीं किया जा सकता है, भले ही टोकन और जिस प्रणाली पर यह रहता है, समझौता किया गया हो, न ही टोकन को पैन पर पहुंचने के लिए विपरीत इंजीनियर किया जा सकता है।

शिफ्ट4 भुगतान द्वारा भुगतान कार्ड आँकड़े पर टोकनाइजेशन लागू किया गया था और 2005 में लास वेगास घाटी, नेवादा में एक उद्योग सुरक्षा शिखर सम्मेलन के दौरान जनता के लिए जारी किया गया। प्रौद्योगिकी भंडारण में क्रेडिट कार्ड की जानकारी की चोरी को रोकने के लिए है। शिफ्ट4 टोकनाइजेशन को इस प्रकार परिभाषित करता है: "संदर्भ, संवेदनशील या गुप्त आँकड़ा द्वारा प्रतिनिधित्व करने के लिए आँकड़े के एक गैर-डिक्रिप्टेबल टुकड़े का उपयोग करने की अवधारणा। भुगतान कार्ड उद्योग (पीसीआई) के संदर्भ में, टोकन का उपयोग कार्डधारक आँकड़ा को संदर्भित करने के लिए किया जाता है जिसे टोकननाइजेशन प्रणाली, उपयोग या ऑफ-साइट सुरक्षित सुविधा में प्रबंधित किया जाता है। अपने पूर्ण जीवनचक्र पर आँकड़े की सुरक्षा के लिए, टोकननाइजेशन को अक्सर टोकेनाइजेशन प्रणाली या सेवा में ट्रांज़िट में आँकड़ा को सुरक्षित करने के लिए आद्यांत संचरण के साथ जोड़ा जाता है, बदले में मूल आँकड़े को टोकन के साथ बदल दिया जाता है। उदाहरण के लिए, लो-ट्रस्ट प्रणाली जैसे बिक्री केन्द्र (POS) प्रणाली से आँकड़ा चोरी करने वाले मैलवेयर के जोखिम से बचने के लिए, 40-मिलियन-कार्ड-नंबर-लक्षित लक्ष्य 2013 का उल्लंघन, कार्डधारक आँकड़ा कूटलेखन कार्ड आँकड़ा को पीओएस में प्रवेश करने से पहले होना चाहिए बाद में नहीं। कूटलेखन एक कठोर सुरक्षा और मान्य कार्ड पाट्यांक उपकरण की सीमा के भीतर होता है और प्रक्रमण होस्ट द्वारा प्राप्त किए जाने तक आँकड़ा गूढलेखित रहता है,  हार्टलैंड भुगतान प्रणाली  द्वारा अग्रणी एक दृष्टिकोण भुगतान आँकड़ा को उन्नत खतरों से सुरक्षित करने के साधन के रूप में, अब उद्योग भुगतान प्रसंस्करण कंपनियों और प्रौद्योगिकी कंपनियों द्वारा व्यापक रूप से अपनाया गया है। PCI काउंसिल ने विभिन्न सेवा कार्यान्वयनों के लिए आद्यांत कूटलेखन (प्रमाणित स्थलशः कूटलेखन-P2PE) भी निर्दिष्ट किया है PCI काउंसिल पॉइंट-टू -पॉइंट कूटलेखन दस्तावेज़ है।

टोकनकरण प्रक्रिया
टोकनकरण की प्रक्रिया में निम्नलिखित चरण होते हैं:

टोकननाइजेशन प्रणाली स्थापित मानकों के अनुसार कई घटकों को साझा करते हैं।
 * उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है।
 * उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। प्रमाणीकरण विफल होने पर इसे रोक दिया जाता है और आँकड़ा को इवेंट मैनेजमेंट प्रणाली में डिलीवर किया जाता है। नतीजतन, प्रशासक समस्याओं की खोज कर सकते हैं और प्रणाली को प्रभावी ढंग से प्रबंधित कर सकते हैं। प्रमाणीकरण सफल होने पर प्रणाली अगले चरण पर जाता है।
 * एक तरफ़ा क्रिप्टोग्राफ़िक तकनीकों का उपयोग करके, एक टोकन उत्पन्न किया जाता है और अत्यधिक सुरक्षित आँकड़ा कोष्ठ में रखा जाता है।
 * आगे उपयोग के लिए उपयोग को नया टोकन प्रदान किया गया है।


 * 1) टोकन उत्पादन किसी भी माध्यम का उपयोग करके एक टोकन बनाने की प्रक्रिया है, जैसे कि मजबूत कूटलेखन एल्गोरिदम और प्रमुख प्रबंधन तंत्र के आधार पर गणितीय रूप से प्रतिवर्ती क्रिप्टोग्राफ़िक फ़ंक्शंस, एक तरफ़ा अपरिवर्तनीय क्रिप्टोग्राफ़िक फलन (जैसे, मजबूत, गुप्त नमक के साथ एक हैश फलन), या बेतरतीब ढंग से उत्पन्न संख्या के माध्यम से असाइनमेंट। रैंडम नंबर जेनरेटर (आरएनजी) तकनीक अक्सर टोकन वैल्यू उत्पन्न करने के लिए सबसे अच्छा विकल्प होती है।
 * 2) टोकन मैपिंग - यह बनाई गई टोकन वैल्यू को उसके मूल मूल्य पर असाइन करने की प्रक्रिया है। सूचकांक के रूप में टोकन का उपयोग करके मूल मूल्य के अनुमत लुक-अप को सक्षम करने के लिए, एक सुरक्षित क्रॉस-रेफरेंस आँकड़ाबेस का निर्माण किया जाना चाहिए।
 * 3) टोकन आँकड़ा भंडार - यह टोकन मैपिंग प्रक्रिया के लिए एक केंद्रीय भंडार है जो मूल मूल्यों के साथ-साथ टोकन उत्पादन प्रक्रिया के बाद संबंधित टोकन मूल्यों को रखता है। आँकड़ा सर्वर पर, संवेदनशील आँकड़ा और टोकन वैल्यू को गूढलेखित प्रारूप में सुरक्षित रूप से रखा जाना चाहिए।
 * 4) गूढलेखित आँकड़ा भंडारेज - यह पारगमन के दौरान संवेदनशील आँकड़ा का कूटलेखन है।
 * 5) क्रिप्टोग्राफ़िक कुंजियों का प्रबंधन। टोकन आँकड़ा भंडार्स पर संवेदनशील आँकड़ा कूटलेखन के लिए मजबूत कुंजी प्रबंधन प्रक्रियाओं की आवश्यकता होती है।

कूटलेखन से अंतर
टोकनाइजेशन और "क्लासिक" कूटलेखन प्रभावी रूप से लागू होने पर आँकड़ा की प्रभावी ढंग से रक्षा करते हैं, और एक कंप्यूटर सुरक्षा प्रणाली दोनों का उपयोग कर सकती है। जबकि कुछ मामलों में समान, टोकननाइजेशन और क्लासिक कूटलेखन कुछ प्रमुख पहलुओं में भिन्न हैं। दोनों क्रिप्टोग्राफी आँकड़ा सुरक्षा विधियां हैं और उनके पास अनिवार्य रूप से एक ही कार्य है, हालांकि वे अलग-अलग प्रक्रियाओं के साथ ऐसा करते हैं और जिस आँकड़ा की वे रक्षा कर रहे हैं उस पर अलग-अलग प्रभाव पड़ते हैं।

टोकनाइजेशन एक गैर-गणितीय दृष्टिकोण है जो संवेदनशील आँकड़ा को गैर-संवेदनशील विकल्पों के साथ आँकड़ा के प्रकार या लंबाई में बदलाव किए बिना बदल देता है। यह कूटलेखन से एक महत्वपूर्ण अंतर है क्योंकि आँकड़ा की लंबाई और प्रकार में परिवर्तन आँकड़ाबेस जैसे मध्यवर्ती प्रणाली में जानकारी को अपठनीय बना सकता है। टोकन आँकड़ा को अभी भी लीगेसी प्रणाली द्वारा संसाधित किया जा सकता है जो क्लासिक कूटलेखन की तुलना में टोकननाइज़ेशन को अधिक लचीला बनाता है।

कई स्थितियों में, कूटलेखन प्रक्रिया प्रसंस्करण शक्ति का एक निरंतर उपभोक्ता है, इसलिए ऐसी प्रणाली को विशेष हार्डवेयर और सॉफ्टवेयर में महत्वपूर्ण व्यय की आवश्यकता होती है।

एक और अंतर यह है कि टोकन को प्रोसेस करने के लिए काफी कम कम्प्यूटेशनल संसाधनों की आवश्यकता होती है। टोकनाइजेशन के साथ, विशिष्ट आँकड़ा को प्रसंस्करण और विश्लेषण के लिए पूरी तरह या आंशिक रूप से दृश्यमान रखा जाता है, जबकि संवेदनशील जानकारी को छिपा कर रखा जाता है। यह टोकनयुक्त आँकड़ा को अधिक तेज़ी से संसाधित करने की अनुमति देता है और प्रणाली संसाधनों पर दबाव कम करता है। यह उच्च प्रदर्शन पर भरोसा करने वाले प्रणाली में एक महत्वपूर्ण लाभ हो सकता है।

कूटलेखन की तुलना में, टीमवर्क और संचार को सक्षम करते हुए टोकननाइज़ेशन तकनीकें समय, व्यय और प्रशासनिक प्रयास को कम करती हैं।

टोकन के प्रकार
ऐसे कई तरीके हैं जिनसे टोकन को वर्गीकृत किया जा सकता है हालांकि वर्तमान में कोई एकीकृत वर्गीकरण नहीं है। टोकन हो सकते हैं: एकल या बहु-उपयोगी, क्रिप्टोग्राफी या गैर-क्रिप्टोग्राफ़िक, प्रतिवर्ती या अपरिवर्तनीय, प्रामाणिक या गैर-प्रामाणिक, और इसके विभिन्न संयोजन।

भुगतान के संदर्भ में, उच्च और निम्न मूल्य के टोकन के बीच का अंतर एक महत्वपूर्ण भूमिका निभाता है।

हाई-वैल्यू टोकन (एचवीटी)
एचवीटी भुगतान लेनदेन में वास्तविक भुगतान कार्ड नंबर के लिए प्रतिनिधि के रूप में काम करते हैं और भुगतान लेनदेन को पूरा करने के लिए एक साधन के रूप में उपयोग किए जाते हैं। कार्य करने के लिए, उन्हें वास्तविक पैन की तरह दिखना चाहिए। एकाधिक एचवीटी मालिक को इसकी जानकारी के बिना एकल पैन और एकल भौतिक क्रेडिट कार्ड पर वापस मैप कर सकते हैं।

इसके अतिरिक्त, एचवीटी कुछ नेटवर्क और/या व्यापारियों तक सीमित हो सकते हैं जबकि पैन नहीं कर सकते।

एचवीटी को विशिष्ट उपकरणों से भी जोड़ा जा सकता है ताकि टोकन उपयोग, भौतिक उपकरणों और भौगोलिक स्थानों के बीच विसंगतियों को संभावित धोखाधड़ी के रूप में चिह्नित किया जा सके।

कम मूल्य के टोकन (एलवीटी) या सुरक्षा टोकन
एलवीटी भुगतान लेनदेन में वास्तविक पैन के लिए प्रतिनिधि के रूप में भी कार्य करते हैं, हालांकि वे एक अलग उद्देश्य पूरा करते हैं। भुगतान लेनदेन को पूरा करने के लिए एलवीटी का उपयोग स्वयं नहीं किया जा सकता है। एलवीटी के कार्य करने के लिए, इसे वास्तविक पैन से वापस मिलान करना संभव होना चाहिए, भले ही यह केवल कड़े नियंत्रित फैशन में हो। यदि एक टोकन प्रणाली का उल्लंघन किया जाता है, तो पैन की सुरक्षा के लिए टोकन का उपयोग करना अप्रभावी हो जाता है, इसलिए टोकन प्रणाली को सुरक्षित करना अत्यंत महत्वपूर्ण है।

प्रणाली संचालन, सीमाएं और विकास
पहली पीढ़ी के टोकेनाइजेशन प्रणाली सजीव आँकड़ा सेप्रतिनिधिक स्थानापन्न टोकन और वापस मैप करने के लिए एक आँकड़ाबेस का उपयोग करते हैं। आँकड़ा हानि से बचने के लिए टोकन आँकड़ाबेस में जोड़े गए प्रत्येक नए लेनदेन के लिए भंडारण, प्रबंधन और निरंतर बैकअप की आवश्यकता होती है। एक अन्य समस्या आँकड़ा केंद्रों में निरंतरता सुनिश्चित करना है, जिसके लिए टोकन आँकड़ाबेस के निरंतर तुल्यकालन की आवश्यकता होती है। सीएपी प्रमेय के अनुसार महत्वपूर्ण स्थिरता, उपलब्धता और प्रदर्शन व्यापार-नापसंद, इस दृष्टिकोण से अपरिहार्य हैं। यह ओवरहेड आँकड़ा हानि से बचने और आँकड़ा केंद्रों में आँकड़ा अखंडता को सुनिश्चित करने के लिए रीयल-टाइम लेनदेन प्रसंस्करण में जटिलता जोड़ता है, और पैमाने को भी सीमित करता है। सभी संवेदनशील आँकड़ा को एक सेवा में संग्रहीत करना हमले और समझौता करने के लिए एक आकर्षक लक्ष्य बनाता है, और आँकड़ा इंटरनेट गोपनीयता, विशेष रूप से आँकड़ा सुरक्षा निर्देश के एकत्रीकरण में गोपनीयता और कानूनी जोखिम पेश करता है।

टोकननाइजेशन प्रौद्योगिकियों की एक और सीमा स्वतंत्र सत्यापन के माध्यम से दिए गए समाधान के लिए सुरक्षा के स्तर को माप रही है। मानकों की कमी के साथ, जब नियामक अनुपालन के लिए टोकन का उपयोग किया जाता है तो टोकन की पेशकश की ताकत स्थापित करने के लिए उत्तरार्द्ध महत्वपूर्ण है। भुगतान कार्ड उद्योग सुरक्षा मानक परिषद सुरक्षा और अनुपालन के किसी भी दावे की स्वतंत्र जांच और सत्यापन की सिफारिश करती है: टोकन के उपयोग पर विचार करने वाले व्यापारियों को उनके विशेष कार्यान्वयन की अनूठी विशेषताओं की पहचान करने और दस्तावेज करने के लिए गहन मूल्यांकन और जोखिम विश्लेषण करना चाहिए, जिसमें सभी इंटरैक्शन शामिल हैं। भुगतान कार्ड आँकड़ा और विशेष टोकन प्रणाली और प्रक्रियाएं सुरक्षा के दृष्टिकोण से टोकन बनाने की विधि की भी सीमाएँ हो सकती हैं। यादृच्छिक संख्या जनरेटर हमले के लिए सुरक्षा और हमलों के बारे में चिंताओं के साथ, जो टोकन और टोकन मैपिंग टेबल की पीढ़ी के लिए एक आम पसंद है, यह सुनिश्चित करने के लिए जांच की जानी चाहिए कि सिद्ध और मान्य तरीकों का उपयोग मनमाना डिजाइन बनाम किया जाता है। क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर की गति, एन्ट्रापी, सीडिंग और पूर्वाग्रह के मामले में सीमाएं हैं, और भविष्यवाणी और समझौता से बचने के लिए सुरक्षा गुणों का सावधानीपूर्वक विश्लेषण और मापन किया जाना चाहिए।

टोकनाइजेशन के बढ़ते अपनाने के साथ, इस तरह के परिचालन जोखिमों और जटिलताओं को दूर करने के लिए और विशेष रूप से वित्तीय सेवाओं और बैंकिंग में उच्च प्रदर्शन लेनदेन प्रसंस्करण के उभरते हुए बड़े आँकड़ा उपयोग के मामलों और उच्च प्रदर्शन लेनदेन प्रसंस्करण के अनुकूल बढ़े हुए पैमाने को सक्षम करने के लिए नए टोकन प्रौद्योगिकी दृष्टिकोण उभरे हैं। पारंपरिक टोकेनाइजेशन विधियों के अलावा, प्रोटेग्रिटी अपनी तथाकथित अस्पष्टता परत के माध्यम से अतिरिक्त सुरक्षा प्रदान करती है। यह एक बाधा उत्पन्न करता है जो न केवल नियमित उपयोगकर्ताओं को उन सूचनाओं तक पहुँचने से रोकता है जिन्हें वे नहीं देख पाएंगे बल्कि उन विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी रोकता है जिनके पास पहुँच है, जैसे आँकड़ाबेस प्रशासक। स्टेटलेस टोकेनाइजेशन सजीव आँकड़ा एलिमेंट्स की रैंडम मैपिंग को आँकड़ाबेस की आवश्यकता के बिना मूल्यों कोप्रतिनिधिक करने में सक्षम बनाता है जबकि टोकनाइजेशन के आइसोलेशन गुणों को बनाए रखता है।

नवंबर 2014, अमेरिकन एक्सप्रेस ने अपनी टोकन सेवा जारी की जो EMV टोकनीकरण मानक को पूरा करती है। EMVCo मानक के अनुसार, टोकन-आधारित भुगतान प्रणाली के अन्य उल्लेखनीय उदाहरणों में Google वॉलेट, Apple Pay, शामिल हैं। सैमसंग पे, माइक्रोसॉफ्ट वॉलेट, फिटबिट पे और गार्मिन पे। वीज़ा इंक एक सुरक्षित ऑनलाइन और मोबाइल खरीदारी प्रदान करने के लिए टोकननाइजेशन तकनीकों का उपयोग करता है। ब्लॉकचैन का उपयोग करते हुए, विश्वसनीय तृतीय पक्षों पर भरोसा करने के विपरीत, लेन-देन के लिए अत्यधिक सुलभ, छेड़छाड़-प्रतिरोधी आँकड़ाबेस चलाना संभव है। ब्लॉकचैन की मदद से, टोकेनाइजेशन एक मूर्त या अमूर्त संपत्ति के मूल्य को एक टोकन में परिवर्तित करने की प्रक्रिया है जिसे नेटवर्क पर एक्सचेंज किया जा सकता है।

उदाहरण के लिए, ब्लॉकचेन तकनीक का उपयोग करके संपत्ति द्वारा समर्थित डिजिटल टोकन में अधिकारों को परिवर्तित करके, यह पारंपरिक वित्तीय संपत्तियों के टोकन को सक्षम बनाता है। इसके अलावा, टोकेनाइजेशन कई उपयोगकर्ताओं में आँकड़ा के सरल और कुशल कंपार्टमेंटलाइज़ेशन और प्रबंधन को सक्षम बनाता है। टोकनाइजेशन के माध्यम से बनाए गए व्यक्तिगत टोकन का उपयोग स्वामित्व को विभाजित करने और संपत्ति को आंशिक रूप से पुनर्विक्रय करने के लिए किया जा सकता है। नतीजतन, केवल उपयुक्त टोकन वाली संस्थाएं ही आँकड़ा तक पहुंच सकती हैं।

कई ब्लॉकचेन कंपनियां एसेट टोकनाइजेशन का समर्थन करती हैं। 2019 में, eToro ने Firmo का अधिग्रहण किया और इसका नाम बदलकर eToroX कर दिया। अपने टोकन मैनेजमेंट सूट के माध्यम से, जो यूएसडी-पेग्ड स्टैब्लॉक्स द्वारा समर्थित है, eToroX एसेट टोकनाइजेशन को सक्षम करता है। STOKR द्वारा इक्विटी के टोकन की सुविधा प्रदान की जाती है, एक ऐसा मंच जो निवेशकों को छोटे और मध्यम आकार के व्यवसायों से जोड़ता है। STOKR प्लेटफॉर्म के माध्यम से जारी किए गए टोकन कानूनी तौर पर यूरोपीय संघ पूंजी बाजार नियमों के तहत हस्तांतरणीय प्रतिभूतियों के रूप में मान्यता प्राप्त हैं। ब्रेकर बौद्धिक संपदा के टोकन को सक्षम करते हैं, जिससे सामग्री निर्माता अपने स्वयं के डिजिटल टोकन जारी कर सकते हैं। विभिन्न परियोजना प्रतिभागियों को टोकन वितरित किए जा सकते हैं। बिचौलियों या शासी निकाय के बिना, सामग्री निर्माता पुरस्कार-साझाकरण सुविधाओं को टोकन में एकीकृत कर सकते हैं।

वैकल्पिक भुगतान प्रणाली के लिए आवेदन
एक वैकल्पिक भुगतान प्रणाली के निर्माण के लिए अंतिम उपयोगकर्ताओं को निकट संचार (एनएफसी) या अन्य प्रौद्योगिकी आधारित भुगतान सेवाओं को वितरित करने के लिए एक साथ काम करने वाली कई संस्थाओं की आवश्यकता होती है। मुद्दों में से एक खिलाड़ियों के बीच अंतर है और इस मुद्दे को हल करने के लिए विश्वसनीय सेवा प्रबंधक (TSM) की भूमिका को मोबाइल नेटवर्क ऑपरेटरों (MNO) और सेवा प्रदाताओं के बीच एक तकनीकी लिंक स्थापित करने का प्रस्ताव है, ताकि ये संस्थाएँ एक साथ काम कर सकें।. ऐसी सेवाओं की मध्यस्थता में टोकनकरण एक भूमिका निभा सकता है।

एक सुरक्षा रणनीति के रूप में टोकनाइजेशन एक वास्तविक कार्ड नंबर कोप्रतिनिधिक (लक्ष्य हटाने) औरप्रतिनिधिक कार्ड नंबर (जोखिम में कमी) पर बाद की सीमाओं के साथ बदलने की क्षमता में निहित है। यदिप्रतिनिधिक मूल्य का उपयोग असीमित तरीके से या व्यापक रूप से लागू तरीके से भी किया जा सकता है, तो टोकन मूल्य वास्तविक क्रेडिट कार्ड नंबर जितना मूल्य प्राप्त करता है। इन मामलों में, टोकन को दूसरे गतिशील टोकन द्वारा सुरक्षित किया जा सकता है जो प्रत्येक लेनदेन के लिए अद्वितीय है और एक विशिष्ट भुगतान कार्ड से भी जुड़ा हुआ है। गतिशील, लेन-देन-विशिष्ट टोकन के उदाहरण में EMV विनिर्देशन में उपयोग किए जाने वाले क्रिप्टोग्राम शामिल हैं।

पीसीआई डीएसएस मानकों के लिए आवेदन
भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक, दिशानिर्देशों का एक उद्योग-व्यापी सेट जो किसी भी संगठन द्वारा पूरा किया जाना चाहिए जो कार्डधारक आँकड़ा को संग्रहीत, संसाधित या प्रसारित करता है, यह अनिवार्य करता है कि संग्रहीत होने पर क्रेडिट कार्ड आँकड़ा को सुरक्षित किया जाना चाहिए। टोकनाइजेशन, जैसा कि भुगतान कार्ड आँकड़ा पर लागू होता है, अक्सर इस शासनादेश को पूरा करने के लिए लागू किया जाता है, कुछ प्रणालियों में क्रेडिट कार्ड और ACH नंबरों को एक यादृच्छिक मान या वर्णों की स्ट्रिंग के साथ बदल दिया जाता है। टोकन को विभिन्न तरीकों से स्वरूपित किया जा सकता है। कुछ टोकन सेवा प्रदाता या टोकननाइजेशन उत्पादप्रतिनिधिक मान इस तरह से उत्पन्न करते हैं जैसे कि मूल संवेदनशील आँकड़ा के प्रारूप से मेल खाते हों। भुगतान कार्ड आँकड़ा के मामले में, एक टोकन प्राथमिक खाता संख्या (बैंक कार्ड नंबर) के समान लंबाई का हो सकता है और इसमें मूल आँकड़ा के तत्व शामिल होते हैं जैसे कार्ड नंबर के अंतिम चार अंक। जब लेन-देन की वैधता को सत्यापित करने के लिए भुगतान कार्ड प्राधिकरण अनुरोध किया जाता है, तो लेन-देन के प्राधिकरण कोड के साथ, कार्ड नंबर के बजाय व्यापारी को एक टोकन वापस किया जा सकता है। टोकन को प्राप्त प्रणाली में संग्रहीत किया जाता है जबकि वास्तविक कार्डधारक आँकड़ा को सुरक्षित टोकननाइजेशन प्रणाली में टोकन में मैप किया जाता है। मजबूत क्रिप्टोग्राफी के उपयोग सहित टोकन और भुगतान कार्ड आँकड़ा का भंडारण वर्तमान पीसीआई मानकों का पालन करना चाहिए।

मानक (एएनएसआई, पीसीआई काउंसिल, वीज़ा, और ईएमवी)
टोकनाइजेशन वर्तमान में ANSI X9 में X9.119 भाग 2 के रूप में मानक परिभाषा में है। X9 भुगतान कार्ड पिन प्रबंधन, क्रेडिट और डेबिट कार्ड कूटलेखन और संबंधित तकनीकों और प्रक्रियाओं सहित वित्तीय क्रिप्टोग्राफी और आँकड़ा सुरक्षा के लिए उद्योग मानकों के लिए जिम्मेदार है। पीसीआई काउंसिल ने आँकड़ा उल्लंघनों में जोखिम को कम करने के लिए टोकननाइजेशन के लिए समर्थन भी कहा है, जब अन्य तकनीकों जैसे पॉइंट-टू-पॉइंट कूटलेखन (पी2पीई) और पीसीआई डीएसएस दिशानिर्देशों के अनुपालन के आकलन के साथ जोड़ा जाता है। वीज़ा इंक ने वीज़ा टोकनाइज़ेशन बेस्ट प्रैक्टिस जारी की टोकनाइजेशन के लिए क्रेडिट और डेबिट कार्ड से निपटने वाले अनुप्रयोगों और सेवाओं में उपयोग किया जाता है। मार्च 2014 में, EMVCo LLC ने EMV के लिए अपना पहला भुगतान टोकनीकरण विनिर्देश जारी किया। PCI DSS भुगतान उद्योग के खिलाड़ियों द्वारा उपयोग किए जाने वाले टोकन प्रणाली के लिए सबसे अधिक उपयोग किया जाने वाला मानक है।

जोखिम में कमी
टोकनाइजेशन आक्रामकों के लिए टोकनाइजेशन प्रणाली या सेवा के बाहर संवेदनशील आँकड़ा तक पहुंच प्राप्त करना अधिक कठिन बना सकता है। टोकनाइजेशन का कार्यान्वयन भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक की आवश्यकताओं को सरल बना सकता है, क्योंकि प्रणाली जो अब संवेदनशील आँकड़ा को संग्रहीत या संसाधित नहीं करते हैं, उनमें पीसीआई डीएसएस दिशानिर्देशों द्वारा आवश्यक लागू नियंत्रणों में कमी हो सकती है।

एक सुरक्षा सर्वोत्तम अभ्यास के रूप में, गोपनीयता अनुपालन, विनियामक अनुपालन, और आँकड़ा सुरक्षा के किसी भी दावे से पहले आँकड़ा सुरक्षा के लिए उपयोग की जाने वाली किसी भी तकनीक का स्वतंत्र मूल्यांकन और सत्यापन, विधि और कार्यान्वयन की सुरक्षा और ताकत स्थापित करने के लिए होना चाहिए। टोकनाइजेशन में यह सत्यापन विशेष रूप से महत्वपूर्ण है, क्योंकि टोकन सामान्य उपयोग में बाहरी रूप से साझा किए जाते हैं और इस प्रकार उच्च जोखिम, कम भरोसेमंद वातावरण में उजागर होते हैं। सेवा या समाधान प्रदाता से स्वतंत्र उपयुक्त विशेषज्ञों द्वारा उद्योग द्वारा स्वीकृत मापों और प्रमाणों का उपयोग करके एक जीवित संवेदनशील आँकड़ा के लिए एक टोकन या टोकन के सेट को उलटने की अक्षमता स्थापित की जानी चाहिए।

टोकन के उपयोग पर प्रतिबंध
सभी संगठनात्मक आँकड़ा को टोकन नहीं किया जा सकता है, और इसकी जांच और फ़िल्टर करने की आवश्यकता है।

जब आँकड़ाबेस का बड़े पैमाने पर उपयोग किया जाता है, तो वे तेजी से विस्तारित होते हैं, जिससे खोज प्रक्रिया में अधिक समय लगता है, प्रणाली प्रदर्शन प्रतिबंधित होता है, और बैकअप प्रक्रिया बढ़ती है। एक आँकड़ाबेस जो संवेदनशील जानकारी को टोकन से जोड़ता है, उसे कोष्ठ कहा जाता है। नए आँकड़ा के साथ, कोष्ठ के रखरखाव का कार्यभार काफी बढ़ जाता है।

आँकड़ाबेस स्थिरता सुनिश्चित करने के लिए, टोकन आँकड़ाबेस को लगातार सिंक्रनाइज़ करने की आवश्यकता होती है।

इसके अलावा, संवेदनशील आँकड़ा और तिजोरी के बीच सुरक्षित संचार चैनल बनाए जाने चाहिए ताकि भंडारण के रास्ते या रास्ते में आँकड़ा से समझौता न किया जा सके।

यह भी देखें

 * अनुकूली सुधार
 * पैन ट्रंकेशन
 * प्रारूप-संरक्षण कूटलेखन

बाहरी संबंध

 * Cloud vs Payment - Cloud vs Payment - Introduction to tokenization via cloud payments.