Hay varios proveedores de productos que afirman que sus productos realizan lo que han llamado tokenización sin bóveda o tokenización reversible, sin almacenar el token y los datos de token asociados. Sin embargo, también dicen que la tokenización no es lo mismo que el cifrado, y que tienen un algoritmo patentado que tokeniza y des-tokeniza los datos de entrada.
Mi pregunta es: ¿no es esto realmente un cifrado elegante (y si mantiene la forma de los datos de origen, posiblemente incluso menos seguro que el cifrado típico)?
Pensé que la idea original detrás de la tokenización era generar un conjunto de datos pseudoaleatorios, asignar esos datos pseudoaleatorios a los datos de entrada y almacenar la asignación entre los dos en una bóveda endurecida. Si luego almacena los tokens en sus sistemas menos seguros y se roban los datos, será prácticamente imposible para un atacante quitar la tokenización de los datos, a menos que también tengan una copia del mapeo en la bóveda.
Si el token se deriva de los datos de origen, ¿no hace eso mucho más fácil de atacar (asumiendo que el atacante no roba el mapeo), ya que en realidad es solo una versión encriptada de los datos de origen?