Estoy investigando la posibilidad de implementar servidores KEK y DEK que cumplan con los requisitos de PCI-DSS.
Los estados de las Pautas de Tokenización de PCI: "La solución de tokenización debe incluir un mecanismo para distinguir entre tokens y PAN reales".
El documento no especifica para qué tipo de token es relevante el requisito anterior. ¿Estoy pensando correctamente que NO es relevante para los tokens basados en funciones criptográficas matemáticamente reversibles?
Gracias
Estoy en lo cierto al pensar que NO es relevante para los tokens basados en ¿Funciones criptográficas matemáticamente reversibles?
Tienes razón. Pero es posible que no quieras hacerlo de esa manera.
Los tokens son generalmente isomorfos a los números de tarjeta (numérico de 15-16 dígitos) porque se supone que pueden reemplazar fácilmente los números de tarjeta en cualquier software que utilice el destinatario.
Si fueras para usar tokens que no parecen números de tarjeta, entonces "has proporcionado un mecanismo para distinguir entre tokens y PANs reales". 4111111111111111 se distingue de 057c331e-f538-11e4-b9b2-1697f925ec7b .
Pero los tokens generalmente son generados por una marca de procesador o tarjeta y se entregan a un comerciante para que los utilice en lugar de los números de tarjeta, generalmente utilizando interfaces programáticas que fueron diseñadas y especificadas para comunicar números de 15 a 16 dígitos. El comerciante probablemente ya tiene software, con una base de datos y lógica de aplicación y todo, que fue diseñado para almacenar números de tarjeta. Cuando se tokenizan, tienen que comenzar a almacenar tokens en lugar de números de tarjeta. Si los tokens se parecen a los números de las tarjetas, generalmente es un simple interruptor no disruptivo. Para "distinguir [entre estos tokens isomóficos] y los PAN reales", pueden usar números IIN / BIN no válidos, fallar en la comprobación del algoritmo de Luhn, etc. etc.
Tienes razón. Sin embargo, los tokens reversibles matemáticamente (también conocidos como datos encriptados) tienen una reducción mucho menor en el alcance del cumplimiento de PCI que un token real generado aleatoriamente. Además, si está configurado en la ruta matemáticamente reversible, también puede usar el cifrado con preservación de formato (FPE). FPE produce textos cifrados que pueden tener la misma longitud y formato (dígitos, alfanuméricos, ASCII ...) que el texto sin formato.
La forma de realizar la tokenización tradicional y abovedada para la reducción del alcance de PCI es mediante la generación de tokens aleatorios y su asignación a los PAN. El "mapeo" es la base de datos que puede decirle qué token aleatorio va con qué PAN (en realidad un PAN encriptado, por si acaso). Esta base de datos suele ser un entorno muy seguro y separado denominado "bóveda de token".
Lea otras preguntas en las etiquetas key-management encryption pci-dss