Organizacja Visa Europe opublikowała dziś zbiór wzorcowych reguł w zakresie tzw. tokenizacji (Visa Best Practices for Tokenisation), które mają wspomagać detalistów oraz dostawców sprzętu i usług w zwiększaniu bezpieczeństwa płatności.
Opracowany w oparciu o zdobyte przez Visa Europe doświadczenia (w tym również wnioski wyciągnięte z dochodzeń w sprawie przypadków wycieku danych), ten zestaw wzorcowych reguł tokenizacji to najnowsza z serii publikacji poradnikowych z fachowymi zaleceniami, jak detaliści i inni uczestnicy rynku płatności mogą zmniejszyć zakres – lub doprowadzić do całkowitego wyeliminowania – wykorzystywania wrażliwych danych dotyczących kart w swoich systemach płatniczych, a tym samym jak mogą ułatwić przestrzeganie zasad bezpieczeństwa.
Tokenizacja to proces, w ramach którego numer karty płatniczej zostaje przedstawiony w formie zastępczej. Tam gdzie detaliści i podmioty przetwarzające dane transakcji stosują takie zastępcze formy (tzw. tokeny) zgodnie z regułami wzorcowymi, możliwe staje się ograniczenie zakresu przechowywania danych o numerze karty oraz znaczne zmniejszenie ryzyka kradzieży poufnych informacji o użytkowniku karty. Dzięki mniejszej ilości informacji wrażliwych, wymagających ochrony, detaliści są w stanie uprościć swoje systemy płatnicze oraz zwiększyć bezpieczeństwo płatności.
„W ramach rynku płatności Visa Europe obserwujemy spore zainteresowanie technologiami, które eliminują bądź zmniejszają potrzebę przechowywania danych użytkowników kart” – powiedział Stanley Skoglund, wiceprezes Visa Europe ds. ryzyka.
„Opracowanie przez organizację Visa Europe zbioru wzorcowych reguł – dzięki którym detaliści i inne zainteresowane strony mogą dokonać oceny prezentowanych ofert – ma na celu upowszechnienie sprawnie działających rozwiązań w zakresie tokenizacji”, dodał Stanley Skoglund.
W listopadzie 2009 r. organizacja Visa Europe ogłosiła zbiór wzorcowych reguł w zakresie szyfrowania danych (Visa Best Practices for Data Field Encryption) w celu ochrony danych osobowych użytkowników kart płatniczych oraz ograniczenia niekodowanego dostępu do informacji o użytkownikach kart i poufnych danych autoryzacyjnych. W dokumencie tym, organizacja Visa Europe zaleca detalistom, firmom przetwarzającym dane transakcji oraz innym zainteresowanym stronom korzystanie z zastępczych form prezentacji numeru karty w zastosowaniach biznesowych związanych z płatnościami, ale innych niż akceptacja płatności. Zalecenia Visa Europe dotyczące szyfrowania skupiają uwagę na ochronie danych zawartych na użytkowanych kartach; z kolei wzorcowe reguły w zakresie tokenizacji służą ochronie danych przechowywanych przez detalistów, od których wymaga się przywoływania tych danych w innych sytuacjach biznesowych.
„Tokenizacja może skutecznie ograniczyć ponoszone przez firmy ryzyko naruszenia bezpieczeństwa danych, jak również przyczynić się do odczuwalnego zmniejszenia zakresu oraz kosztów oceny zgodności ze standardami bezpieczeństwa danych dla branży kart płatniczych (ang. Payment Card Industry Data Security Standard – PCI DSS)” – powiedział Gary Palgon, wiceprezes ds. produktów firmy nuBridges, oferującej rozwiązania w zakresie tokenizacji. „Visa Europe przewodzi w procesie opracowywania wzorcowych reguł tokenizacji, zaś obecna publikacja stanowi ważny krok naprzód w kierunku przyjęcia takich reguł w skali całej branży, jak również usprawnienia procesów biznesowych związanych z płatnościami”, dodał Gary Palgon.
Zbiór wzorcowych reguł Visa Europe w zakresie tokenizacji zawiera wskazówki porządkujące obszary dotąd zaniedbywane, takie jak np. prawidłowe tworzenie form zastępczych (tokenów) oraz zarządzanie danymi za okresy ubiegłe. Określone w dokumencie cztery główne filary skutecznej tokenizacji to:
– tworzenie form zastępczych (tokenów) – definiuje proces generowania tokenów
– kojarzenie tokenu z odpowiednim numerem karty
– „skarbiec” z danymi kart – centralny zbiór danych użytkowników kart wykorzystywanych w procesie odwzorowywania numerów kart na formach zastępczych
– zarządzanie kluczami kryptograficznymi oraz ich wykorzystywanie w celu ochrony danych użytkownika i rachunku karty.
Neira Jones, szefowa działu bezpieczeństwa płatności w Barclaycard Global Payment Acceptance, powiedziała: „Stale dążymy do upowszechnienia rozwiązań zmniejszających ryzyko, dlatego cieszy nas opublikowanie wzorcowych reguł Visa Europe w zakresie tokenizacji, świadczące o rosnącej wiedzy na ten temat w branży płatniczej. Ten ważny krok naprzód, wyprzedzający planowaną na jesień publikację wytycznych Rady ds. Standardów Bezpieczeństwa Branży Kart Płatniczych (PCI SSC), z pewnością pomoże podmiotom zainteresowanym tą technologią w lepszym zaplanowaniu jej wdrożenia.”
Anglojęzyczne wersje zbiorów wzorcowych reguł Visa w zakresie szyfrowania danych oraz tokenizacji (Visa’s Best Practices for Tokenisation and Data Field Encryption) są dostępne w postaci elektronicznej pod adresem internetowym: http://www2.visaeurope.com/merchant/ais/resourcesanddownloads.jsp
Źródło: Visa
Wojciech Boczoń
