O que é tokenização?

A tokenização pode ajudar a proteger informações confidenciais. Por exemplo, dados sensíveis podem ser mapeados para um token e colocados em um vault para armazenamento seguro. O token pode, então, atuar como um substituto seguro para os dados. O token em si não é sensível e não tem uso ou valor sem conexão com o vault. 

Um token digital é uma coleção de caracteres que servem como um identificador para algum outro ativo ou informação. Por exemplo, é possível substituir um valor de despesa anual de US$ 45.500.000 em um relatório confidencial pelo token “ot&14%Uyb”.

Os tokens também aparecem no processamento de linguagem natural (NLP), embora o conceito seja um pouco diferente nesse campo. No NLP, um token é uma unidade individual de linguagem (geralmente, uma palavra ou parte de uma palavra) que uma máquina pode entender.

Cada tipo de tokenização produz diferentes tipos de tokens. Os tokens comuns incluem:

• Os tokens irreversíveis são exatamente isso: tokens que não podem ser convertidos de volta aos seus valores originais. Os tokens irreversíveis são frequentemente usados para anonimizar dados, o que permite que o conjunto de dados tokenizado seja usado para análise de dados de terceiros ou em ambientes menos seguros.
  
  
• Os tokens reversíveis podem passar por destokenização para serem convertidos de volta aos seus valores de dados originais. Os tokens reversíveis são úteis quando pessoas e sistemas precisam acessar os dados originais. Por exemplo, ao emitir um reembolso, um processador de pagamentos pode precisar converter um token de pagamento de volta nos detalhes reais do cartão de pagamento.
  
  
• Os tokens de preservação de formato têm o mesmo formato dos dados que substituem. Por exemplo, o token para um número de cartão de crédito com o formato 1234-1234-1234-1234 pode ser 8493-9756-1986-6455. Os tokens de preservação de formato apoiam a continuidade de negócios porque ajudam a garantir que a estrutura de um dado permaneça a mesma, mesmo quando tokenizada. Essa estrutura estável torna o token mais provável de ser compatível com software tradicional e atualizado.
  
  
• Os sistemas de pagamento que usam tokenização para proteger informações confidenciais têm tokens de alto e baixo valor. O token de alto valor (HVT) pode substituir um número de conta primária (PAN) em uma transação, permitindo que ele conclua a transação sozinho. Tokens de baixo valor (LVTs) substituem PANs, mas não podem concluir transações. O LVT deve mapear para o PAN válido.

Os sistemas de tokenização geralmente incluem os seguintes componentes:

1. Um gerador de tokens, que cria tokens por meio de uma das várias técnicas. Essas técnicas podem incluir diferentes funções:

• Funções criptográficas matematicamente reversíveis que usam algoritmos de criptografia avançados, que podem ser revertidos com uma chave de criptografia associada.
  
  
• Funções criptográficas unidirecionais e não reversíveis, como uma função de hash.
  
  
• Um gerador de números aleatórios, para criar tokens aleatórios, o que geralmente é considerado uma das técnicas mais fortes para gerar valores de token.

2. Um processo de mapeamento de tokens, que atribui o valor do token recém-criado ao valor original. Um banco de dados seguro de referências cruzadas é criado para rastrear as associações entre os tokens e os dados reais. Esse banco de dados é mantido em um armazenamento de dados seguro, para que apenas usuários autorizados possam acessá-lo.  

3. Um armazenamento de dados de tokens ou vault de tokens, que contém os valores originais e seus valores de token relacionados. Os dados armazenados no vault geralmente são criptografados para maior segurança. A vault é o único local onde um token está conectado ao seu valor original.

4. Um gerenciador de chaves de criptografia para rastrear e proteger todas as chaves criptográficas usadas para criptografar dados no vault, tokens em trânsito ou outros dados e ativos no sistema de tokenização.

A tokenização sem um vault também é possível. Em vez de armazenar informações sigilosas em um banco de dados seguro, a tokenização sem vault usa um algoritmo de criptografia para gerar um token com base nos dados sigilosos. O mesmo algoritmo pode ser usado para reverter o processo, transformando o token nos dados originais. A maioria dos tokens reversíveis não exige que as informações sigilosas originais sejam armazenadas em um vault.

Quando um provedor de tokenização terceirizado é usado, os dados sensíveis originais podem ser removidos dos sistemas internos de uma empresa, migrados para o armazenamento do terceiro e substituídos por tokens. Essa substituição ajuda a reduzir o risco de violações de dados na empresa. Os tokens são normalmente armazenados dentro da empresa para simplificar as operações.

1. Para criar uma conta em um site oficial do governo, o usuário deve informar o número da Previdência Social (SSN).
   
   
2. O site envia o número da Previdência Social para um serviço de tokenização. O serviço de tokenização gera um token que representa o SSN e armazena o SSN real em um vault seguro.
   
   
3. O serviço de tokenização envia o token de volta ao site. O site armazena somente o token não confidencial.
   
   
4. Quando o site precisa acessar o SSN original (por exemplo, para confirmar a identidade do usuário durante visitas posteriores), ele envia o token de volta ao serviço de tokenização. O serviço compara o token com o SSN correto em seu vault para confirmar a identidade do usuário. 

Os métodos de tokenização podem trazer proteção de dados adicional para muitos tipos de dados em muitos setores e funções de negócios.

A tokenização de dados possibilita que uma organização remova ou disfarce todo e qualquer elemento de dados sensível de seus sistemas de dados internos. Como resultado, há menos — ou nenhum — dados valiosos para os hackers roubarem, o que ajuda a reduzir a vulnerabilidade da organização a violações de dados.

A tokenização é frequentemente usada para proteger dados comerciais confidenciais e informação de identificação pessoal (PII), como números de passaportes ou números da Previdência Social. Nos serviços financeiros, marketing e varejo, a tokenização é frequentemente usada para proteger os dados de titular de cartões e informações de contas.

Cada informação sigilosa recebe seu próprio identificador exclusivo. Esses tokens podem ser usados no lugar dos dados reais para a maioria dos usos de dados intermediários (usando dados sigilosos após serem coletados, mas antes da disposição final) sem a necessidade de destokenizá-los.

A tokenização também pode ajudar as organizações a atender aos requisitos de conformidade. Por exemplo, muitas organizações de saúde usam tokenização para ajudar a atender às regras de privacidade de dados impostas pela Lei de portabilidade e responsabilidade de planos de saúde (HIPAA).

Alguns sistemas de controle de acesso também usam tokens digitais. Por exemplo, em um protocolode autenticação baseado em tokens, os usuários verificam suas identidades e recebem em troca um token de acesso que pode ser usado para obter acesso a serviços e ativos protegidos. Muitas interfaces de programação de aplicativos (APIs) usam tokens dessa maneira. 

Bancos, sites de comércio eletrônico e outros aplicativos costumam usar tokenização para proteger números de contas bancárias, números de cartão de crédito e outros dados sigilosos.

Durante o processamento do pagamento, um sistema de tokenização pode substituir informações de cartão de crédito, número de conta principal (PAN) ou outros dados financeiros por um token de pagamento.

Esse processo de tokenização remove o vínculo entre a compra e as informações financeiras, protegendo os dados sigilosos do cliente contra agentes mal-intencionados.

Tokenização é uma técnica de pré-processamento usada no processamento de linguagem natural (NLP). As ferramentas de NLP geralmente processam texto em unidades linguísticas, como palavras, cláusulas, frases e parágrafos. Assim, algoritmos de NLP devem primeiro segmentar textos grandes em tokens menores que as ferramentas de NLP possam processar. Os tokens representam o texto de uma maneira que os algoritmos podem entender.  

A tokenização de dados ajuda as organizações a cumprir os requisitos regulatórios governamentais e as normas dos setores. Muitas usam a tokenização como uma forma de ofuscação não destrutiva para proteger a PII.

Por exemplo, o Payment Card Industry Data Security Standard (PCI DSS) exige que as empresas atendam aos requisitos de cibersegurança para proteger os dados dos titulares de cartões. A tokenização dos números de contas primárias é uma etapa que as organizações podem adotar para cumprir esses requisitos. A tokenização também pode ajudar as organizações a aderir às regras de privacidade de dados estabelecidas pelo Regulamento Geral de Proteção de Dados (GDPR) da UE.

Os tokens podem ser usados para representar ativos, sejam eles tangíveis ou intangíveis. Ativos tokenizados geralmente são mais seguros e fáceis de migrar ou negociar do que o ativo real, permitindo que as organizações automatizem transações, simplifiquem operações e aumentem a liquidez dos ativos.

Ativos tangíveis representados por um token podem incluir obras de arte, equipamento ou imobiliário. Ativos intangíveis incluem dados, propriedade intelectual ou tokens de segurança que prometem um ROI, semelhante a títulos e ações. Tokens não fungíveis (NFTs) permitem a compra de recursos digitais, como arte, música e colecionáveis digitais.

A tecnologia blockchain baseada em tokens permite a transferência de propriedade e valor em uma única transação, ao contrário dos métodos tradicionais que podem ter um atraso entre o tempo da transação e a liquidação. Contratos inteligentes podem ajudar a automatizar transferências de tokens e outras transações na blockchain.

As criptomoedas podem usar um token criptográfico para tokenizar um ativo ou interesse em suas blockchains. Os tokens lastreados em ativos, chamados de stablecoins, podem otimizar processos de negócios, eliminando intermediários e contas de garantia. 

A tokenização substitui dados confidenciais por cadeias de caracteres não confidenciais (e, de outra forma, inúteis). A criptografia embaralha os dados para que eles possam ser decodificados com uma chave secreta, conhecida como chave de descriptografia.

Tanto a tokenização quanto a criptografia ajudam a proteger os dados, mas geralmente servem a casos de uso diferentes. A tokenização é comum em situações em que os dados originais podem ser substituídos com facilidade, como armazenar dados de pagamento para pagamentos recorrentes. A criptografia é comum em situações em que o acesso aos dados originais é importante, como proteger dados em repouso e em trânsito.

A tokenização pode ser um processo com uso menos intensivo de recursos do que a criptografia. Considerando que a tokenização exige apenas a troca de dados com um token não sigiloso, um sistema de criptografia requer criptografia e descriptografia regulares quando os dados são usados, o que pode se tornar caro.