Tokenization kelime anlamı olarak simgeleştirme diyebiliriz. Korunması istenen hassas verinin hassas olmayan bir veri ile simgeleştirilmesi. Ödeme dünyasında tabi ki en yaygın olan hassas verimiz kredi kartı numarasıdır. Yüz yüze (Card Present) alışverişlerde EMV (Europay, Mastercard, Visa) standardındaki çipli işlemler oldukça güvenli bir yöntem olmakta ancak, yüz yüze olmayan (Card Not Present) işlemlerde kartın sistemler arası taşınma ihtiyacından dolayı güvenlik zafiyetleri de artmakta. Biz kredi kartı numaramızı özellikle e-ticaret işlemlerinde farklı farklı bir çok sitelerde paylaşarak aslında fraud yaşama ihtimalimizi artırıyoruz. Tokenization yöntemi ile orijinal kredi kartı numarası yerine onu temsil eden ve hassas olmayan bir token üretip onu paylaşmış oluyoruz. Kredi kartımızın orijinal verisi yine güvendiğimiz bir merkezde saklanmış oluyor.
Burada orijinal kartı saklayan merkez ve onun kullandığı algoritma ne kadar güvenli ise o kadar kartımız güvende demektir. PCI-DSS gereksinimlerini karşılayan kurumlar ile çalışmak size kendinizi rahat hissettirebilir. Örneğin kritik veriler içerecek veri tabanınızı ve uygulamanızı host etmek için bir sunucu arıyorsunuz, bu hosting veya cloud şirketinin PCI-DSS gerekliliklerini karşılamıyor ise verilerinizin çalınma olasılığı daha yüksek olabilir. 1988-1998 yılları arasında Mastercard ve Visa’nın fraud işlemlerden 750 milyon $ kaybetti. Bu yüzden 2004 yılında PCI-DSS (Payment Card Industry Data Security Standard) Visa, Mastercard, Discover, American Express ‘ın ortak konsorsiyumu ile kuruldu ve sürekli bu kartlı ödemelerin güvenliğini sağlamak için 2006 yılında ilk versiyonunu yayınladı.
Tokenization ile şifreleme (encyption) aynı değildir. Simetrik şifrelemelerde bir anahtar yardımı ile açık veri şifrelenir ve şifreli veri elde edilir. ABC verisini şifrelediğinizde XYZ olur ve eğer şifreleme anahtarı bulunursa ABC verisine geri dönülebilir. Asimetrik şifrelemede ise public ve private olmak üzere 2 anahtar vardır. Public key ile şifrelenen veriyi sadece elinde private key’i olan açabilir. Bu 2 yöntemde aslında anahtarları ele geçiren kişilerin orijinal veriye erişme ihtimali mevcuttur. Bu yöntemlerde anahtarların güvenli bir şekilde dağıtılması en önemli konudur. Bazen bir kurumda 3 ayrı kişiye 3 parça halinde fiziksel posta ile paylaşılır, bazen yarısı email, yarısı sms ile paylaşılır gibi farklı bir çok önlem alınmaktadır.
Simetrik şifreleme:
Asimetrik şifreleme:
Şekil 1: Simetrik ve Asimetrik Şifreleme Teknikleri
Kaynak: https://www.encryptionconsulting.com/education-center/encryption-vs-tokenization/
Geri döndürülemez (irreversal) Tokenization uygulandığında ağda dolaşan veriden orijinal veriye geri dönüş söz konusu değildir. Bu numara tamamen rastgeledir, çözülemez ve tersine çevrilemez. Şifrelemeye göre işlem başına daha az maliyeti vardır. Orijinal veri ile token arasında matematiksel bir ilişki yoktur. Bir veri tabanında token ile orijinal verinin ilişkisini tutar. Bu ilişkide bazen token ve orijinal veri formatı benzerken, hiç benzemez halde de olabilir. Token yine tek kullanımlık veya çoklu kullanım için olan türleri vardır. Token ve orijinal verinin ilişkisini tutan veri tabanı ise genellikle şifrelidir ve yüksek güvenlik standardı ile korunması gerekir. PCI-DSS buradaki standartları belirler ve bu data merkezlerini denetler. TSP (Token Service Provider) denen hizmet sağlayıcılardan bu veri hizmeti alınırsa üye işyerinin veya bankanın da PCI’a karşı sorumluluğu azalmış olur. EMVco’nun sitesinde TSP listesi görülebilir.
Şekil 2: Kartın Simgeleştirilmesi
Kaynak: https://www.linkedin.com/learning/learning-secure-payments-and-pci/skimmers?autoplay=true&u=116562338
Yerine göre simetrik şifreleme, yerine göre asimetrik şifreleme, yerine göre hashleme, yerine göre de tokenization kullanılabilir. Biri diğerinin yerine geçecek bir seçenek gibi olaya bakmamak gerekir. Örneğin elinizde büyük bir veri seti varsa burada şifreleme kullanmak mantıklı olabilir. Ancak PC-DSS’deki yükümlülükleriniz azaltmak istiyorsanız hassas verileri kendi sisteminizde tutmayıp tokenization’ı kullanabilirsiniz.
Şekil 3: Kart Simgeleştirme Süreci
Kaynak: https://www.linkedin.com/learning/learning-secure-payments-and-pci/skimmers?autoplay=true&u=116562338
Örneğin Kuveyt Türk / Architecht olarak kendi Sanal POS’umuza tekrarlı ödemeler ihtiyacı olan üye işyerlerimiz için biz her kart için benzersiz bir token üretiyoruz ve böylece üye işyerlerinin kendi sistemlerinde kart bilgisi saklama ihtiyacı kalmıyor. Bu token sadece bu sisteme özgü ve başka bir sistemde çalışmaz. Tokenlaştırma özellikle saklanan kart verisi ile yapılan işlemlerde (card-on-file – CoF), tekrarlı ödemelerde (recurring payments), E-Ticaret(E-Commerce) işlemlerinde oldukça kullanılışlıdır.
Gün geçtikçe hayatımıza yeni ve daha kolay ödeme yöntemleri gelmekte ve büyük oyuncular da bu alana yatırım yapmaktalar. Apple pay, Google pay, paypal, ali pay, Mastercard, Visa, American Express, Discover veya güvendiğimiz bir cüzdan uygulamalarına kartımızı tek seferlik tanımladığımızda, bu yöntem ile ödeme alan üye işyerleri ile kart bilgimizi paylaşmamıza gerek kalmıyor. HCE (Host Card Emulation) ile yine bir çok banka, kuruluş da kartlarını bulut tabanlı bir yapıda saklayarak NFC ile temassız ödeme yapabilme özelliğini müşterilerine sunmak için yarışıyorlar. Bu yöntemler ile işlemlerin güvenliği artmakta ve aynı zamanda da çok kolay hale geliyor. Son kullanma tarihi, cvv, kart numarası , e-ticaret işlemi ise sms otp vb bir çok veriyi son kullanıcı girmek zorunda kalmıyor ve ciddi bir zaman kazancı da sağlıyor.
Tokenization sadece ödeme alanında değil, hassas verinin saklanması istenen pek çok alanda kullanılabilir. Ödeme sistemleri dünyası ise kart ve POS’un fiziksel ihtiyacını azaltan yeni çözümler ile evrim geçirmeye devam ediyor.
Referanslar :
https://listings.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf
https://www.emvco.com/registered-ids/?tax%5Bregistered-ids_categories%5D%5B73%5D%5B%5D=121
https://www.encryptionconsulting.com/education-center/encryption-vs-tokenization/