Ahileos - Fotolia

F

Welchen Einfluss Tokenization auf die PCI-DSS-Compliance hat

Der Begriff Tokenization ist für viele verwirrend. Wir erklären, wie er sich von Security-Tokens abgrenzt und welche Compliance-Auswirkungen er hat.

Der Begriff Tokenization ist für viele Leser verwirrend, da es einerseits eine Authentifizierungs-Option und andererseits einen Begriff im Zahlungsverkehr darstellt. Was ist der Unterschied zwischen einem Token, der für Einmalpasswörter verwendet wird und einem Token, wie er zum Beispiel bei Apple Pay zum Einsatz kommt? Was ist bei der PCI-DSS-Compliance zu beachten?

Tokenization ist einer meiner Lieblings-Security-Technologien, insbesondere wenn es um die Vereinfachung der PCI-DSS-Compliance geht. Doch bevor wir tiefer in die Technologie eindringen, möchte ich klären, wie sich die beiden Arten von Tokens unterscheiden.

Der Begriff Token bezieht sich auf ein physisches Objekt (Gerät), das Menschen mit sich herumtragen (häufig am Schlüsselbund), und welches Einmalpasswörter für den Einsatz in Multifaktor-Authentifizierungssystemen generiert. Damit wird aber nicht die Technologie beschrieben, die hinter dem Begriff Tokenization steckt.

Die bei Tokenization verwendeten Tokens sind alphanummerische Codes, die anstelle von sensiblen Daten eingesetzt werden. Die Technologie, wie sie zum Beispiel bei Apple Pay und in vielen neueren Kassensystemen zum Einsatz kommt, nutzt diese Codes, um die Kreditkartennummern in den Händlerdatensätzen zu ersetzen. Wird Tokenization ordnungsgemäß eingesetzt, sorgt sie dafür, dass keine Kreditkartennummer jemals in den Systemen des Händlers gespeichert wird, was wiederum den Umfang der PCI-DSS-Compliance verringert.

Ein Beispiel: Ein Kunde kommt mit seinen Waren zur Kasse und möchte die Tokenization-Technologie für die Zahlung verwenden. Der Kunde steckt die Kreditkarte in das Kartenlesegerät, welches eine Point-to-Point-Verschlüsselungstechnologie einsetzt, um die sensiblen Kreditkarteninformationen zu verschlüsseln. Der Verschlüsselungscode ist dabei nur der Bank bekannt.

Die verschlüsselte Kreditkartennummer passiert nun das Kassensystem des entsprechenden Händlers und wird zur Verarbeitung an die Bank gesendet. Gleichzeitig zeichnet das Kassensystem einen Token-Wert auf, so dass die Bank die Kreditkartentransaktion diesem spezifischen Prozess zuordnet. Das Kassensystem registriert bei dem gesamten Vorgang niemals eine unverschlüsselte Kreditkartennummer, so dass es von PCI-DSS-Compliance-Vorgaben unberührt bleibt.

Das Payment Card Industry Security Standards Council (PCI Security Standards Council) hat bereits den Wert der Tokenization-Technologie erkannt und unterstützt seine Nutzung, um die Sicherheit zu verbessern und Compliance-Vorgaben zu verringern.

Weitere Informationen zum Thema finden Sie in den PCI DSS Tokenization Guidelines des PCI Security Standards Councils.

Mehr zum Thema PCI DSS:

PCI DSS 3.1 erfordert einen neuen Plan für SSL-Sicherheit.

PCI-DSS-Update im April: PCI DSS 3.1 soll SSL-Schwachstellen schließen.

Gefährdet ein IT-Lockdown die Compliance nach PCI DSS?

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Erfahren Sie mehr über Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close