टोकनाइजेशन (डेटा सुरक्षा)

टोकनाइजेशन, जब आँकड़ा सुरक्षा पर लागू होता है, एक संवेदनशील आँकड़ा तत्व को एक गैर-संवेदनशील समतुल्य के साथ प्रतिस्थापित करने की प्रक्रिया है, जिसे सुरक्षा टोकन के रूप में संदर्भित किया जाता है, जिसका कोई आंतरिक या शोषक अर्थ या मूल्य नहीं है। टोकन एक संदर्भ (अर्थात पहचानकर्ता) है जो एक टोकननाइजेशन प्रणाली के माध्यम से संवेदनशील आँकड़े पर वापस मैप करता है। मूल आँकड़े से एक टोकन तक मैपिंग उन विधियों का उपयोग करती है जो टोकननाइजेशन प्रणाली की अनुपस्थिति में टोकन को उलटने के लिए असंभव बनाती हैं, उदाहरण के लिए यादृच्छिक संख्या पीढ़ी से बनाए गए टोकन का उपयोग करना। मूल आँकड़े को टोकन में बदलने के लिए एक तरफ़ा गूढ़लेखिकी फलन का उपयोग किया जाता है, जिससे टोकननाइज़ेशन प्रणाली के संसाधनों में प्रवेश प्राप्त किए बिना मूल आँकड़े को फिर से बनाना मुश्किल हो जाता है। ऐसी सेवाएं प्रदान करने के लिए, प्रणाली टोकन का एक कोष्ठ आँकड़ा बेस रखता है जो संबंधित संवेदनशील आँकड़े से जुड़ा होता है। प्रणाली कोष्ठ की सुरक्षा प्रणाली के लिए महत्वपूर्ण है, और आँकड़ा बेस अखंडता और भौतिक सुरक्षा प्रदान करने के लिए बेहतर प्रक्रियाओं को रखा जाना चाहिए। सुरक्षा सर्वोत्तम प्रथाओं का उपयोग करके टोकन प्रणाली को सुरक्षित और मान्य किया जाना चाहिए संवेदनशील आँकड़ा सुरक्षा, सुरक्षित भंडारण, अंकेक्षण, प्रमाणीकरण और प्राधिकरण के लिए लागू है। टोकनाइजेशन प्रणाली आँकड़ा प्रक्रमण उपयोग को प्राधिकरण के साथ प्रदान करता है और टोकन का अनुरोध करने के लिए अंतरापृष्ठ करता है, या संवेदनशील आँकड़ा को वापस डिटोकेनाइज करता है। टोकनाइजेशन के सुरक्षा और जोखिम में कमी के लाभों के लिए आवश्यक है कि टोकनाइजेशन प्रणाली तार्किक रूप से अलग-थलग हो और आँकड़ा प्रक्रमण प्रणाली और अनुप्रयोगों से खंडित हो जो पहले टोकन द्वारा प्रतिस्थापित संवेदनशील आँकड़ा को संसाधित या संग्रहीत करते थे। टोकन बनाने के लिए केवल टोकननाइजेशन प्रणाली आँकड़े को टोकन कर सकता है, या सख्त सुरक्षा नियंत्रणों के अनुसार संवेदनशील आँकड़े को भुनाने के लिए वापस डीटोकनाइज कर सकता है। टोकन उत्पादन विधि में यह गुण होना चाहिए कि प्रत्यक्ष आक्षेप करने, क्रिप्ट विश्लेषण, पार्श्व चैनल विश्लेषण, टोकन मैपिंग टेबल अपावरण या पशुपन तकनीकों के माध्यम से टोकन को सजीव आँकड़ा में वापस लाने के लिए कोई व्यवहार्य साधन नहीं है।

प्रणाली में टोकन के साथ सजीव आँकड़े को बदलने का उद्देश्य संवेदनशील आँकड़े के उन अनुप्रयोगों, भंडार, लोगों और प्रक्रियाओं के जोखिम को कम करना है, समझौता या आकस्मिक जोखिम और संवेदनशील आँकड़े तक अनधिकृत पहुंच के जोखिम को कम करना है। अनुप्रयोगों को सजीव आँकड़े के अतिरिक्त टोकन का उपयोग करके संचालित किया जा सकता है, एक छोटी संख्या में विश्वसनीय अनुप्रयोगों के अपवाद के साथ स्पष्ट रूप से अनुमोदित व्यावसायिक उद्देश्य के लिए सख्ती से आवश्यक होने पर स्पष्ट रूप से अनुमति दी जाती है। टोकननाइजेशन प्रणाली आँकड़ा सेंटर के एक सुरक्षित पृथक खंड के भीतर या एक सुरक्षित सेवा प्रदाता से सेवा के रूप में संचालित किया जा सकता है।

टोकनाइजेशन का उपयोग संवेदनशील आँकड़े की सुरक्षा के लिए किया जा सकता है, उदाहरण के लिए, बैंक खाते, वित्तीय विवरण, चिकित्सा अभिलेख, आपराधिक अभिलेख, चालक लाइसेंस, ऋण आवेदन, शेयर व्यापार (वित्तीय साधन), मतदाता पंजीकरण, और अन्य प्रकार की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) ). टोकनाइजेशन का उपयोग अधिकांशत: क्रेडिट कार्ड प्रक्रमण में किया जाता है। भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक टोकननाइजेशन को एक प्रक्रिया के रूप में परिभाषित करता है जिसके द्वारा प्राथमिक खाता संख्या (पैन) को एक प्रतिनिधिक मूल्य के साथ बदल दिया जाता है जिसे टोकन कहा जाता है। टोकनाइजेशन प्रक्रिया के माध्यम से एक पैन को एक संदर्भ संख्या से जोड़ा जा सकता है। इस मामले में, व्यापारी को केवल टोकन को बनाए रखना होता है और एक विश्वसनीय तृतीय पक्ष सम्बन्ध को नियंत्रित करता है और पैन रखता है। टोकन को पैन से स्वतंत्र रूप से बनाया जा सकता है, या पैन को टोकननाइजेशन तकनीक में आँकड़ा निविष्ट के हिस्से के रूप में उपयोग किया जा सकता है। पैन और टोकन हासिल करने के लिए आक्रामक को विच्छेदक करने से रोकने के लिए व्यापारी और तीसरे पक्ष के आपूर्तिकर्ता के बीच संचार सुरक्षित होना चाहिए। डी-टोकनाइजेशन इसके संबंधित पैन मूल्य के लिए एक टोकन को भुनाने की विपरीत प्रक्रिया है। एक व्यक्तिगत टोकन की सुरक्षा मुख्य रूप से केवल प्रतिनिधिक मूल्य जानने वाले मूल पैन को निर्धारित करने की अक्षमता पर निर्भर करती है। कूटलेखन  जैसी अन्य तकनीकों के विकल्प के रूप में टोकननाइजेशन का विकल्प अलग-अलग नियामक आवश्यकताओं, व्याख्या और संबंधित अंकेक्षणिंग या मूल्यांकन संस्थाओं द्वारा स्वीकृति पर निर्भर करेगा। यह किसी भी तकनीकी, वास्तु या परिचालन बाधा के अतिरिक्त है जो व्यावहारिक उपयोग में टोकननाइजेशन लगाता है।

अवधारणाएं और उत्पत्ति
टोकेनाइजेशन की अवधारणा, जैसा कि आज उद्योग द्वारा अपनाया गया है, अस्तित्व में है क्योंकि सदियों पहले पहली मुद्रा प्रणाली उभरी थी, जो उच्च मूल्य वाले वित्तीय साधनों को प्रतिनिधिक समकक्षों के साथ बदलकर जोखिम को कम करने के साधन के रूप में उभरी थी।  भौतिक दुनिया में, टोकन सिक्के का मिंट (सिक्का) और बैंकनोट के वित्तीय साधन को बदलने के उपयोग का एक लंबा इतिहास है। हाल के इतिहास में, सबवे टोकन और कैसीनो चिप्स ने भौतिक मुद्रा और चोरी जैसे नकद प्रबंधन जोखिमों को बदलने के लिए अपने संबंधित प्रणाली के लिए गोद लिया। एक्सोन्यूमा और प्रतिभूति पत्र ऐसे सांकेतिक टोकन पर्यायवाची शब्द हैं।

डिजिटल दुनिया में, वास्तविक आँकड़ा तत्वों को अन्य आँकड़ा प्रणाली के संपर्क से अलग करने के साधन के रूप में 1970 के दशक से समान प्रतिस्थापन तकनीकों का उपयोग किया गया है। उदाहरण के लिए आँकड़ाबेस में, आँकड़ा प्रक्रमण में विभिन्न उपयोगों के लिए आँकड़ाबेस के आंतरिक तंत्र और उनके बाहरी समकक्षों से जुड़े आँकड़ा को अलग करने के लिए 1976 से प्रतिनिधिक कुंजी मानों का उपयोग किया गया है। हाल ही में, आँकड़ा सुरक्षा के उद्देश्यों के लिए सुरक्षा तंत्र प्रदान करने के लिए इस अलगाव रणनीति पर विचार करने के लिए इन अवधारणाओं को विस्तारित किया गया है।

भुगतान कार्ड उद्योग में, उद्योग मानकों और सरकारी नियमों का पालन करने के लिए संवेदनशील कार्डधारक आँकड़ा की रक्षा करने का एक साधन है। 2001 में, ट्रस्टकामर्स ने क्लाइंट क्लासमेट्स डॉट कॉम के लिए संवेदनशील भुगतान आँकड़ा की सुरक्षा के लिए टोकनाइजेशन की अवधारणा बनाई। इसने ट्रस्टकामर्स के संस्थापक रोब कॉलफ़ील्ड को सम्मलित किया, क्योंकि यदि सिस्टम कभी हैक किया गया था तो कार्ड धारक डेटा को संग्रहीत करने का जोखिम बहुत अधिक था। ट्रस्टकामर्स ने टीसी साइटाडेल® विकसित किया है, जिसके साथ कार्ड धारक ग्राहक आँकड़ा के स्थान पर एक टोकन का संदर्भ दे सकते हैं और ट्रस्टकामर्स व्यापारी की ओर से भुगतान की प्रक्रिया करेगा। इस बिलिंग उपयोग ने ग्राहकों को कार्डधारक भुगतान जानकारी संग्रहीत करने की आवश्यकता के बिना आवर्ती भुगतानों को संसाधित करने की अनुमति दी। टोकनाइजेशन प्राथमिक खाता संख्या (पैन) को बेतरतीब ढंग से उत्पन्न टोकन के साथ बदल देता है। यदिअंतःखंडित किया जाता है, तो आँकड़ा में कार्डधारक की कोई जानकारी नहीं होती है, जो हैकर्स के लिए बेकार है। पैन को पुनः प्राप्त नहीं किया जा सकता है, भले ही टोकन और जिस प्रणाली पर यह रहता है, समझौता किया गया हो, न ही टोकन को पैन पर पहुंचने के लिए विपरीत इंजीनियर किया जा सकता है।

शिफ्ट4 भुगतान द्वारा भुगतान कार्ड आँकड़े पर टोकनाइजेशन लागू किया गया था और 2005 में लास वेगास घाटी, नेवादा में एक उद्योग सुरक्षा शिखर सम्मेलन के दौरान जनता के लिए जारी किया गया। प्रौद्योगिकी भंडारण में क्रेडिट कार्ड की जानकारी की चोरी को रोकने के लिए है। शिफ्ट4 टोकनाइजेशन को इस प्रकार परिभाषित करता है: "संदर्भ, संवेदनशील या गुप्त आँकड़ा द्वारा प्रतिनिधित्व करने के लिए आँकड़े के एक गैर-डिक्रिप्टेबल टुकड़े का उपयोग करने की अवधारणा। भुगतान कार्ड उद्योग (पीसीआई) के संदर्भ में, टोकन का उपयोग कार्डधारक आँकड़ा को संदर्भित करने के लिए किया जाता है जिसे टोकननाइजेशन प्रणाली, उपयोग या ऑफ-साइट सुरक्षित सुविधा में प्रबंधित किया जाता है। अपने पूर्ण जीवनचक्र पर आँकड़े की सुरक्षा के लिए, टोकननाइजेशन को अधिकांशत: टोकेनाइजेशन प्रणाली या सेवा में ट्रांज़िट में आँकड़ा को सुरक्षित करने के लिए आद्यांत संचरण के साथ जोड़ा जाता है, बदले में मूल आँकड़े को टोकन के साथ बदल दिया जाता है। उदाहरण के लिए, लो-ट्रस्ट प्रणाली जैसे बिक्री केन्द्र (POS) प्रणाली से आँकड़ा चोरी करने वाले मैलवेयर के जोखिम से बचने के लिए, 40-मिलियन-कार्ड-नंबर-लक्षित लक्ष्य 2013 का उल्लंघन, कार्डधारक आँकड़ा कूटलेखन कार्ड आँकड़ा को पीओएस में प्रवेश करने से पहले होना चाहिए बाद में नहीं। कूटलेखन एक कठोर सुरक्षा और मान्य कार्ड पाट्यांक उपकरण की सीमा के भीतर होता है और प्रक्रमण होस्ट द्वारा प्राप्त किए जाने तक आँकड़ा गूढलेखित रहता है,  हार्टलैंड भुगतान प्रणाली  द्वारा अग्रणी एक दृष्टिकोण भुगतान आँकड़ा को उन्नत खतरों से सुरक्षित करने के साधन के रूप में, अब उद्योग भुगतान प्रसंस्करण कंपनियों और प्रौद्योगिकी कंपनियों द्वारा व्यापक रूप से अपनाया गया है। PCI काउंसिल ने विभिन्न सेवा कार्यान्वयनों के लिए आद्यांत कूटलेखन (प्रमाणित स्थलशः कूटलेखन-P2PE) भी निर्दिष्ट किया है PCI काउंसिल पॉइंट-टू -पॉइंट कूटलेखन दस्तावेज़ है।

टोकनकरण प्रक्रिया
टोकनकरण की प्रक्रिया में निम्नलिखित चरण होते हैं:

टोकननाइजेशन प्रणाली स्थापित मानकों के अनुसार कई घटकों को साझा करते हैं।
 * उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है।
 * उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। प्रमाणीकरण विफल होने पर इसे रोक दिया जाता है और आँकड़ा को घटना प्रबंधन प्रणाली में प्रदत्त किया जाता है। परिणाम स्वरुप, प्रशासक समस्याओं की खोज कर सकते हैं और प्रणाली को प्रभावी ढंग से प्रबंधित कर सकते हैं। प्रमाणीकरण सफल होने पर प्रणाली अगले चरण पर जाता है।
 * एक तरफ़ा गूढ़ालेखी तकनीकों का उपयोग करके, एक टोकन उत्पन्न किया जाता है और अत्यधिक सुरक्षित आँकड़ा कोष्ठ में रखा जाता है।
 * आगे उपयोग के लिए एप्लिकेशन को नया टोकन प्रदान किया जाता है।


 * 1) टोकन उत्पादन किसी भी माध्यम का उपयोग करके एक टोकन बनाने की प्रक्रिया है, जैसे कि मजबूत कूटलेखन कलनविधि और प्रमुख प्रबंधन तंत्र के आधार पर गणितीय रूप से प्रतिवर्ती गूढ़ालेखी फलन, एक तरफ़ा अपरिवर्तनीय गूढ़ालेखी फलन (जैसे, मजबूत, गुप्त नमक के साथ एक हैश फलन), या बेतरतीब ढंग से उत्पन्न संख्या के माध्यम से समनुदेशन है। बेतरतीब ढंग से सृजित संख्या (आरएनजी) तकनीक अधिकांशत: टोकन वैल्यू उत्पन्न करने के लिए सबसे अच्छा विकल्प होती है।
 * 2) टोकन मैपिंग - यह बनाई गई टोकन वैल्यू को उसके मूल मूल्य पर नियुक्त करने की प्रक्रिया है। सूचकांक के रूप में टोकन का उपयोग करके मूल मूल्य के अनुमत अवलोकन को सक्षम करने के लिए, एक सुरक्षित प्रतिसंदर्भ आँकड़ाबेस का निर्माण किया जाना चाहिए।
 * 3) टोकन आँकड़ा भंडार - यह टोकन मैपिंग प्रक्रिया के लिए एक केंद्रीय भंडार है जो मूल मूल्यों के साथ-साथ टोकन उत्पादन प्रक्रिया के बाद संबंधित टोकन मूल्यों को रखता है। आँकड़ा परिसेवक पर, संवेदनशील आँकड़ा और टोकन वैल्यू को गूढलेखित प्रारूप में सुरक्षित रूप से रखा जाना चाहिए।
 * 4) गूढलेखित आँकड़ा भंडारण - यह पारगमन के दौरान संवेदनशील आँकड़ा का कूटलेखन है।
 * 5) गूढ़ालेखी कुंजियों का प्रबंधन। टोकन आँकड़ा भंडारण पर संवेदनशील आँकड़ा कूटलेखन के लिए मजबूत कुंजी प्रबंधन प्रक्रियाओं की आवश्यकता होती है।

कूटलेखन से अंतर
टोकनाइजेशन और "उत्कृष्ट" कूटलेखन प्रभावी रूप से लागू होने पर आँकड़े की प्रभावी ढंग से रक्षा करते हैं, और एक अभिकलित्र सुरक्षा प्रणाली दोनों का उपयोग कर सकती है। जबकि कुछ स्थितियों में समान, टोकननाइजेशन और उत्कृष्ट कूटलेखन कुछ प्रमुख पहलुओं में भिन्न हैं। दोनों गूढ़लेखन आँकड़ा सुरक्षा विधियां हैं और उनके पास अनिवार्य रूप से एक ही कार्य है, चूंकि वे अलग-अलग प्रक्रियाओं के साथ ऐसा करते हैं और जिस आँकड़ा की वे रक्षा कर रहे हैं उस पर अलग-अलग प्रभाव पड़ते हैं।

टोकनाइजेशन एक गैर-गणितीय दृष्टिकोण है जो संवेदनशील आँकड़ा को गैर-संवेदनशील विकल्पों के साथ आँकड़ा के प्रकार या लंबाई में बदलाव किए बिना बदल देता है। यह कूटलेखन से एक महत्वपूर्ण अंतर है क्योंकि आँकड़ा की लंबाई और प्रकार में परिवर्तन आँकड़ाबेस जैसे मध्यवर्ती प्रणाली में जानकारी को अपठनीय बना सकता है। टोकन आँकड़ा को अभी भी लीगेसी प्रणाली द्वारा संसाधित किया जा सकता है जो उत्कृष्ट कूटलेखन की तुलना में टोकननाइज़ेशन को अधिक लचीला बनाता है।

कई स्थितियों में, कूटलेखन प्रक्रिया प्रसंस्करण शक्ति का एक निरंतर उपभोक्ता है, इसलिए ऐसी प्रणाली को विशेष हार्डवेयर और सॉफ्टवेयर में महत्वपूर्ण व्यय की आवश्यकता होती है।

एक और अंतर यह है कि टोकन को प्रसंस्करण करने के लिए काफी कम अभिकलनात्मक संसाधनों की आवश्यकता होती है। टोकनाइजेशन के साथ, विशिष्ट आँकड़ा को प्रसंस्करण और विश्लेषण के लिए पूरी तरह या आंशिक रूप से दृश्यमान रखा जाता है, जबकि संवेदनशील जानकारी को छिपा कर रखा जाता है। यह टोकनयुक्त आँकड़ा को अधिक तेज़ी से संसाधित करने की अनुमति देता है और प्रणाली संसाधनों पर दबाव कम करता है। यह उच्च प्रदर्शन पर भरोसा करने वाले प्रणाली में एक महत्वपूर्ण लाभ हो सकता है।

कूटलेखन की तुलना में, सामूहिक कार्य और संचार को सक्षम करते हुए टोकननाइज़ेशन तकनीकें समय, व्यय और प्रशासनिक प्रयास को कम करती हैं।

टोकन के प्रकार
ऐसे कई तरीके हैं जिनसे टोकन को वर्गीकृत किया जा सकता है चूंकि वर्तमान में कोई एकीकृत वर्गीकरण नहीं है। टोकन : एकल या बहु-उपयोगी, गूढ़लेखन या गैर-गूढ़ालेखी, प्रतिवर्ती या अपरिवर्तनीय, प्रामाणिक या गैर-प्रामाणिक, और इसके विभिन्न संयोजन हो सकते हैं।

भुगतान के संदर्भ में, उच्च और निम्न मूल्य के टोकन के बीच का अंतर एक महत्वपूर्ण भूमिका निभाता है।

उच्च मूल्य टोकन (एचवीटी)
एचवीटी भुगतान लेनदेन में वास्तविक भुगतान कार्ड नंबर के लिए प्रतिनिधि के रूप में काम करते हैं और भुगतान लेनदेन को पूरा करने के लिए एक साधन के रूप में उपयोग किए जाते हैं। कार्य करने के लिए, उन्हें वास्तविक पैन की तरह दिखना चाहिए। एकाधिक एचवीटी अधिष्ठाता को इसकी जानकारी के बिना एकल पैन और एकल भौतिक क्रेडिट कार्ड पर वापस मैप कर सकते हैं।

इसके अतिरिक्त, एचवीटी कुछ नेटवर्क या व्यापारियों तक सीमित हो सकते हैं जबकि पैन नहीं कर सकते है।

एचवीटी को विशिष्ट उपकरणों से भी जोड़ा जा सकता है जिससे कि टोकन उपयोग, भौतिक उपकरणों और भौगोलिक स्थानों के बीच विसंगतियों को संभावित धोखाधड़ी के रूप में चिह्नित किया जा सके।

कम मूल्य के टोकन (एलवीटी) या सुरक्षा टोकन
एलवीटी भुगतान लेनदेन में वास्तविक पैन के लिए प्रतिनिधि के रूप में भी कार्य करते हैं, चूंकि वे एक अलग उद्देश्य पूरा करते हैं। भुगतान लेनदेन को पूरा करने के लिए एलवीटी का उपयोग स्वयं नहीं किया जा सकता है। एलवीटी के कार्य करने के लिए, इसे वास्तविक पैन से वापस मिलान करना संभव होना चाहिए, भले ही यह केवल कड़े नियंत्रित फलन में हो। यदि एक टोकन प्रणाली का उल्लंघन किया जाता है, तो पैन की सुरक्षा के लिए टोकन का उपयोग करना अप्रभावी हो जाता है, इसलिए टोकन प्रणाली को सुरक्षित करना अत्यंत महत्वपूर्ण है।

प्रणाली संचालन, सीमाएं और विकास
पहली पीढ़ी के टोकेनाइजेशन प्रणाली सजीव आँकड़ा से प्रतिनिधिक स्थानापन्न टोकन और वापस मैप करने के लिए एक आँकड़ाबेस का उपयोग करते हैं। आँकड़ा हानि से बचने के लिए टोकन आँकड़ाबेस में जोड़े गए प्रत्येक नए लेनदेन के लिए भंडारण, प्रबंधन और निरंतर बैकअप की आवश्यकता होती है। एक अन्य समस्या आँकड़ा केंद्रों में निरंतरता सुनिश्चित करना है, जिसके लिए टोकन आँकड़ाबेस के निरंतर तुल्यकालन की आवश्यकता होती है। सीएपी प्रमेय के अनुसार महत्वपूर्ण स्थिरता, उपलब्धता और प्रदर्शन व्यापार-नापसंद, इस दृष्टिकोण से अपरिहार्य हैं। यह शिरोपरि आँकड़ा हानि से बचने और आँकड़ा केंद्रों में आँकड़ा अखंडता को सुनिश्चित करने के लिए समयोचित लेनदेन प्रसंस्करण में जटिलता जोड़ता है, और पैमाने को भी सीमित करता है। सभी संवेदनशील आँकड़ा को एक सेवा में संग्रहीत करना आक्षेप करना और समझौता करने के लिए एक आकर्षक लक्ष्य बनाता है, और आँकड़ा इंटरनेट गोपनीयता, विशेष रूप से आँकड़ा सुरक्षा निर्देश के एकत्रीकरण में गोपनीयता और कानूनी जोखिम पेश करता है।

टोकननाइजेशन प्रौद्योगिकियों की एक और सीमा स्वतंत्र सत्यापन के माध्यम से दिए गए समाधान के लिए सुरक्षा के स्तर को माप रही है। मानकों की कमी के साथ, जब नियामक अनुपालन के लिए टोकन का उपयोग किया जाता है तो टोकन की पेशकश की ताकत स्थापित करने के लिए उत्तरार्द्ध महत्वपूर्ण है। भुगतान कार्ड उद्योग सुरक्षा मानक परिषद सुरक्षा और अनुपालन के किसी भी दावे की स्वतंत्र जांच और सत्यापन की सिफारिश करती है: टोकन के उपयोग पर विचार करने वाले व्यापारियों को उनके विशेष कार्यान्वयन की अनूठी विशेषताओं की पहचान करने और दस्तावेज करने के लिए गहन मूल्यांकन और जोखिम विश्लेषण करना चाहिए, जिसमें सभी अन्तःक्रिया सम्मलित हैं। भुगतान कार्ड आँकड़ा और विशेष टोकन प्रणाली और प्रक्रियाएं सुरक्षा के दृष्टिकोण से टोकन बनाने की विधि की भी सीमाएँ हो सकती हैं। यादृच्छिक संख्या जनरेटर आक्षेप करने के लिए सुरक्षा और हमलों के बारे में चिंताओं के साथ, जो टोकन और टोकन मैपिंग टेबल की पीढ़ी के लिए एक सामान्य पसंद है, यह सुनिश्चित करने के लिए जांच की जानी चाहिए कि सिद्ध और मान्य तरीकों का उपयोग यादृच्छिक अभिकल्पना के विरुद्ध किया जाता है। गूढ़लेखिकी रूप से सुरक्षित छद्म यादृच्छिक संख्या जनित्र की गति, एन्ट्रापी, सीडिंग और पूर्वाग्रह के मामले में सीमाएं हैं, और भविष्यवाणी और समझौता से बचने के लिए सुरक्षा गुणों का सावधानीपूर्वक विश्लेषण और मापन किया जाना चाहिए।

टोकनाइजेशन के बढ़ते अपनाने के साथ, इस तरह के परिचालन जोखिमों और जटिलताओं को दूर करने के लिए और विशेष रूप से वित्तीय सेवाओं और बैंकिंग में उच्च प्रदर्शन लेनदेन प्रसंस्करण के उभरते हुए बड़े आँकड़ा उपयोग के स्थितियों और उच्च प्रदर्शन लेनदेन प्रसंस्करण के अनुकूल बढ़े हुए पैमाने को सक्षम करने के लिए नए टोकन प्रौद्योगिकी दृष्टिकोण उभरे हैं। पारंपरिक टोकेनाइजेशन विधियों के अतिरिक्त, प्रोटेग्रिटी अपनी तथाकथित अस्पष्टता परत के माध्यम से अतिरिक्त सुरक्षा प्रदान करती है। यह एक बाधा उत्पन्न करता है जो न केवल नियमित उपयोगकर्ताओं को उन सूचनाओं तक पहुँचने से रोकता है जिन्हें वे नहीं देख पाएंगे बल्कि उन विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी रोकता है जिनके पास पहुँच है, जैसे आँकड़ाबेस प्रशासक। स्टेटलेस टोकेनाइजेशन सजीव आँकड़ा एलिमेंट्स की रैंडम मैपिंग को आँकड़ाबेस की आवश्यकता के बिना मूल्यों कोप्रतिनिधिक करने में सक्षम बनाता है जबकि टोकनाइजेशन के आइसोलेशन गुणों को बनाए रखता है।

नवंबर 2014, अमेरिकन एक्सप्रेस ने अपनी टोकन सेवा जारी की जो ईएमवी टोकनीकरण मानक को पूरा करती है। EMVCo मानक के अनुसार, टोकन-आधारित भुगतान प्रणाली के अन्य उल्लेखनीय उदाहरणों में गूगल वॉलेट, एप्पल पे, सम्मलित हैं। सैमसंग पे, माइक्रोसॉफ्ट वॉलेट, फिटबिट पे और गार्मिन पे। वीज़ा इंक एक सुरक्षित ऑनलाइन और मोबाइल खरीदारी प्रदान करने के लिए टोकननाइजेशन तकनीकों का उपयोग करता है। ब्लॉकचैन का उपयोग करते हुए, विश्वसनीय तृतीय पक्षों पर भरोसा करने के विपरीत, लेन-देन के लिए अत्यधिक सुलभ, छेड़छाड़-प्रतिरोधी आँकड़ाबेस चलाना संभव है। ब्लॉकचैन की मदद से, टोकेनाइजेशन एक मूर्त या अमूर्त संपत्ति के मूल्य को एक टोकन में परिवर्तित करने की प्रक्रिया है जिसे नेटवर्क पर विनिमय किया जा सकता है।

उदाहरण के लिए, ब्लॉकचेन तकनीक का उपयोग करके संपत्ति द्वारा समर्थित डिजिटल टोकन में अधिकारों को परिवर्तित करके, यह पारंपरिक वित्तीय परिसंपत्ति के टोकन को सक्षम बनाता है। इसके अतिरिक्त, टोकेनाइजेशन कई उपयोगकर्ताओं में आँकड़ा के सरल और कुशल कोष्ठीकरण और प्रबंधन को सक्षम बनाता है। टोकनाइजेशन के माध्यम से बनाए गए व्यक्तिगत टोकन का उपयोग स्वामित्व को विभाजित करने और संपत्ति को आंशिक रूप से पुनर्विक्रय करने के लिए किया जा सकता है। परिणाम स्वरुप, केवल उपयुक्त टोकन वाली संस्थाएं ही आँकड़े तक पहुंच सकती हैं।

कई ब्लॉकचेन कंपनियां परिसंपत्ति टोकन का समर्थन करती हैं। 2019 में, eToro ने Firmo का अधिग्रहण किया और इसका नाम बदलकर eToroX कर दिया। अपने टोकन मैनेजमेंट सूट के माध्यम से, जो यूएसडी-पेग्ड स्टैब्लॉक्स द्वारा समर्थित है, eToroX एसेट टोकनाइजेशन को सक्षम करता है। STOKR द्वारा इक्विटी के टोकन की सुविधा प्रदान की जाती है, एक ऐसा मंच जो निवेशकों को छोटे और मध्यम आकार के व्यवसायों से जोड़ता है। STOKR प्लेटफॉर्म के माध्यम से जारी किए गए टोकन कानूनी तौर पर यूरोपीय संघ पूंजी बाजार नियमों के अनुसार हस्तांतरणीय प्रतिभूतियों के रूप में मान्यता प्राप्त हैं। ब्रेकर बौद्धिक संपदा के टोकन को सक्षम करते हैं, जिससे सामग्री निर्माता अपने स्वयं के डिजिटल टोकन जारी कर सकते हैं। विभिन्न परियोजना प्रतिभागियों को टोकन वितरित किए जा सकते हैं। बिचौलियों या शासी निकाय के बिना, सामग्री निर्माता पुरस्कार-साझाकरण सुविधाओं को टोकन में एकीकृत कर सकते हैं।

वैकल्पिक भुगतान प्रणाली के लिए आवेदन
एक वैकल्पिक भुगतान प्रणाली के निर्माण के लिए अंतिम उपयोगकर्ताओं को निकट संचार (एनएफसी) या अन्य प्रौद्योगिकी आधारित भुगतान सेवाओं को वितरित करने के लिए एक साथ काम करने वाली कई संस्थाओं की आवश्यकता होती है। मुद्दों में से एक खिलाड़ियों के बीच अंतर है और इस मुद्दे को हल करने के लिए विश्वसनीय सेवा प्रबंधक (TSM) की भूमिका को मोबाइल नेटवर्क ऑपरेटर(MNO) और सेवा प्रदाताओं के बीच एक तकनीकी लिंक स्थापित करने का प्रस्ताव है, जिससे कि ये संस्थाएँ एक साथ काम कर सकें। ऐसी सेवाओं की मध्यस्थता में टोकनकरण एक भूमिका निभा सकता है।

एक सुरक्षा रणनीति के रूप में टोकनाइजेशन एक वास्तविक कार्ड नंबर को प्रतिनिधिक (लक्ष्य हटाने) और प्रतिनिधिक कार्ड नंबर (जोखिम में कमी) पर बाद की सीमाओं के साथ बदलने की क्षमता में निहित है। यदि प्रतिनिधिक मूल्य का उपयोग असीमित तरीके से या व्यापक रूप से लागू तरीके से भी किया जा सकता है, तो टोकन मूल्य वास्तविक क्रेडिट कार्ड नंबर जितना मूल्य प्राप्त करता है। इन स्थितियों में, टोकन को दूसरे गतिशील टोकन द्वारा सुरक्षित किया जा सकता है जो प्रत्येक लेनदेन के लिए अद्वितीय है और एक विशिष्ट भुगतान कार्ड से भी जुड़ा हुआ है। गतिशील, लेन-देन-विशिष्ट टोकन के उदाहरण में EMV विनिर्देशन में उपयोग किए जाने वाले कूट लेख सम्मलित हैं।

पीसीआई डीएसएस मानकों के लिए आवेदन
भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक, दिशानिर्देशों का एक उद्योग-व्यापी सेट जो किसी भी संगठन द्वारा पूरा किया जाना चाहिए जो कार्डधारक आँकड़े को संग्रहीत, संसाधित या प्रसारित करता है, यह अनिवार्य करता है कि संग्रहीत होने पर क्रेडिट कार्ड आँकड़े को सुरक्षित किया जाना चाहिए। टोकनाइजेशन, जैसा कि भुगतान कार्ड आँकड़े पर लागू होता है, अधिकांशत: इस शासनादेश को पूरा करने के लिए लागू किया जाता है, कुछ प्रणालियों में क्रेडिट कार्ड और ACH नंबरों को एक यादृच्छिक मान या वर्णों की स्ट्रिंग के साथ बदल दिया जाता है। टोकन को विभिन्न तरीकों से स्वरूपित किया जा सकता है। कुछ टोकन सेवा प्रदाता या टोकननाइजेशन उत्पादप्रतिनिधिक मान इस तरह से उत्पन्न करते हैं जैसे कि मूल संवेदनशील आँकड़ा के प्रारूप से मेल खाते हों। भुगतान कार्ड आँकड़ा के मामले में, एक टोकन प्राथमिक खाता संख्या (बैंक कार्ड नंबर) के समान लंबाई का हो सकता है और इसमें मूल आँकड़ा के तत्व सम्मलित होते हैं जैसे कार्ड नंबर के अंतिम चार अंक। जब लेन-देन की वैधता को सत्यापित करने के लिए भुगतान कार्ड प्राधिकरण अनुरोध किया जाता है, तो लेन-देन के प्राधिकरण कोड के साथ, कार्ड नंबर के अतिरिक्त व्यापारी को एक टोकन वापस किया जा सकता है। टोकन को प्राप्त प्रणाली में संग्रहीत किया जाता है जबकि वास्तविक कार्डधारक आँकड़ा को सुरक्षित टोकननाइजेशन प्रणाली में टोकन में मैप किया जाता है। मजबूत गूढ़लेखन के उपयोग सहित टोकन और भुगतान कार्ड आँकड़ा का भंडारण वर्तमान पीसीआई मानकों का पालन करना चाहिए।

मानक (एएनएसआई, पीसीआई काउंसिल, वीज़ा, और ईएमवी)
टोकनाइजेशन वर्तमान में ANSI X9 में X9.119 भाग 2 के रूप में मानक परिभाषा है। X9 भुगतान कार्ड पिन प्रबंधन, क्रेडिट और डेबिट कार्ड कूटलेखन और संबंधित तकनीकों और प्रक्रियाओं सहित वित्तीय गूढ़लेखन और आँकड़ा सुरक्षा के लिए उद्योग मानकों के लिए जिम्मेदार है। पीसीआई काउंसिल ने आँकड़ा उल्लंघनों में जोखिम को कम करने के लिए टोकननाइजेशन के लिए समर्थन भी कहा है, जब अन्य तकनीकों जैसे स्थलशः कूटलेखन (पी2पीई) और पीसीआई डीएसएस दिशानिर्देशों के अनुपालन के आकलन के साथ जोड़ा जाता है। वीज़ा इंक ने वीज़ा टोकनाइज़ेशन बेस्ट प्रैक्टिस जारी की टोकनाइजेशन के लिए क्रेडिट और डेबिट कार्ड से निपटने वाले अनुप्रयोगों और सेवाओं में उपयोग किया जाता है। मार्च 2014 में, EMVCo LLC ने EMV के लिए अपना पहला भुगतान टोकनीकरण विनिर्देश जारी किया। पीसीआई डीएसएस भुगतान उद्योग के खिलाड़ियों द्वारा उपयोग किए जाने वाले टोकन प्रणाली के लिए सबसे अधिक उपयोग किया जाने वाला मानक है।

जोखिम में कमी
टोकनाइजेशन आक्रामकों के लिए टोकनाइजेशन प्रणाली या सेवा के बाहर संवेदनशील आँकड़ा तक पहुंच प्राप्त करना अधिक कठिन बना सकता है। टोकनाइजेशन का कार्यान्वयन भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक की आवश्यकताओं को सरल बना सकता है, क्योंकि प्रणाली जो अब संवेदनशील आँकड़ा को संग्रहीत या संसाधित नहीं करते हैं, उनमें पीसीआई डीएसएस दिशानिर्देशों द्वारा आवश्यक लागू नियंत्रणों में कमी हो सकती है।

एक सुरक्षा सर्वोत्तम अभ्यास के रूप में, गोपनीयता अनुपालन, विनियामक अनुपालन, और आँकड़ा सुरक्षा के किसी भी दावे से पहले आँकड़ा सुरक्षा के लिए उपयोग की जाने वाली किसी भी तकनीक का स्वतंत्र मूल्यांकन और सत्यापन, विधि और कार्यान्वयन की सुरक्षा और ताकत स्थापित करने के लिए होना चाहिए। टोकनाइजेशन में यह सत्यापन विशेष रूप से महत्वपूर्ण है, क्योंकि टोकन सामान्य उपयोग में बाहरी रूप से साझा किए जाते हैं और इस प्रकार उच्च जोखिम, कम भरोसेमंद वातावरण में उजागर होते हैं। सेवा या समाधान प्रदाता से स्वतंत्र उपयुक्त विशेषज्ञों द्वारा उद्योग द्वारा स्वीकृत मापों और प्रमाणों का उपयोग करके एक जीवित संवेदनशील आँकड़ा के लिए एक टोकन या टोकन के सेट को उलटने की अक्षमता स्थापित की जानी चाहिए।

टोकन के उपयोग पर प्रतिबंध
सभी संगठनात्मक आँकड़े को टोकन नहीं किया जा सकता है, और इसकी जांच और फ़िल्टर करने की आवश्यकता है।

जब आँकड़ाबेस का बड़े पैमाने पर उपयोग किया जाता है, तो वे तेजी से विस्तारित होते हैं, जिससे खोज प्रक्रिया में अधिक समय लगता है, प्रणाली प्रदर्शन प्रतिबंधित होता है, और बैकअप प्रक्रिया बढ़ती है। एक आँकड़ाबेस जो संवेदनशील जानकारी को टोकन से जोड़ता है, उसे कोष्ठ कहा जाता है। नए आँकड़ा के साथ, कोष्ठ के रखरखाव का कार्यभार काफी बढ़ जाता है।

आँकड़ाबेस स्थिरता सुनिश्चित करने के लिए, टोकन आँकड़ाबेस को लगातार तुल्यकालित करने की आवश्यकता होती है।

इसके अतिरिक्त, संवेदनशील आँकड़ा और कोष्ठ के बीच सुरक्षित संचार चैनल बनाए जाने चाहिए जिससे कि भंडारण के रास्ते में आँकड़े से समझौता न किया जा सके।

यह भी देखें

 * अनुकूली सुधार
 * पैन ट्रंकेशन
 * प्रारूप-संरक्षण कूटलेखन

बाहरी संबंध

 * Cloud vs Payment - Cloud vs Payment - Introduction to tokenization via cloud payments.