टोकनाइजेशन (डेटा सुरक्षा): Difference between revisions
No edit summary |
No edit summary |
||
Line 2: | Line 2: | ||
{{Distinguish|टोकनाइजेशन (शाब्दिक विश्लेषण)}} | {{Distinguish|टोकनाइजेशन (शाब्दिक विश्लेषण)}} | ||
[[File:How mobile payment tokenization works.png|thumb|480x480px टोकनाइजेशन | [[File:How mobile payment tokenization works.png|thumb|480x480px टोकनाइजेशन सामान्यत: [[क्रेडिट कार्ड]] वाले मोबाइल फोन उपयोग के माध्यम से काम करता है।<ref>{{Cite news|url=https://www.morpho.com/en/media/tokenization-demystified-20170919|title=टोकनाइजेशन डीमिस्टिफाइड|date=2017-09-19|work=IDEMIA|access-date=2018-01-26|archive-url=https://web.archive.org/web/20180126000515/https://www.morpho.com/en/media/tokenization-demystified-20170919|archive-date=2018-01-26}}</ref><ref>{{Cite web|url=https://squareup.com/townsquare/what-does-tokenization-actually-mean|title=भुगतान टोकनकरण समझाया|website=Square|language=en-US|archive-url=https://web.archive.org/web/20180102223251/https://squareup.com/townsquare/what-does-tokenization-actually-mean|archive-date=2018-01-02|access-date=2018-01-26}}</ref> [[भुगतान टर्मिनल]] पर फ़िंगरप्रिंट स्कैनिंग या पिन-नंबरों के अतिरिक्त अन्य तरीकों का उपयोग किया जा सकता है।]]टोकनाइजेशन, जब आँकड़ा सुरक्षा पर लागू होता है, एक संवेदनशील [[डेटा तत्व|आँकड़ा तत्व]] को एक गैर-संवेदनशील समतुल्य के साथ प्रतिस्थापित करने की प्रक्रिया है, जिसे [[सुरक्षा टोकन]] के रूप में संदर्भित किया जाता है, जिसका कोई आंतरिक या शोषक अर्थ या मूल्य नहीं है। टोकन एक संदर्भ (अर्थात पहचानकर्ता) है जो एक टोकननाइजेशन प्रणाली के माध्यम से संवेदनशील आँकड़े पर वापस मैप करता है। मूल आँकड़े से एक टोकन तक मैपिंग उन विधियों का उपयोग करती है जो टोकननाइजेशन प्रणाली की अनुपस्थिति में टोकन को उलटने के लिए असंभव बनाती हैं, उदाहरण के लिए [[यादृच्छिक संख्या पीढ़ी]] से बनाए गए टोकन का उपयोग करना।<ref>[http://www.3dsi.com/blog/credit-card-tokenization-101 CardVault: "Tokenization 101"]</ref> मूल आँकड़े को टोकन में बदलने के लिए एक तरफ़ा गूढ़लेखिकी फलन का उपयोग किया जाता है, जिससे टोकननाइज़ेशन प्रणाली के संसाधनों में प्रवेश प्राप्त किए बिना मूल आँकड़े को फिर से बनाना मुश्किल हो जाता है।<ref name=":0">{{Cite journal |last=Ogigau-Neamtiu |first=F. |date=2016 |title=डेटा सुरक्षा तकनीक के रूप में टोकनकरण|department=Regional Department of Defense Resources Management Studies |journal=Zeszyty Naukowe AON |volume=2 |location=Brasov, Romania |publisher=Akademia Sztuki Wojennej |issue=103 |pages=124–135 |issn=0867-2245}}</ref> ऐसी सेवाएं प्रदान करने के लिए, प्रणाली टोकन का एक कोष्ठ आँकड़ा बेस रखता है जो संबंधित संवेदनशील आँकड़े से जुड़ा होता है। प्रणाली कोष्ठ की सुरक्षा प्रणाली के लिए महत्वपूर्ण है, और आँकड़ा बेस अखंडता और भौतिक सुरक्षा प्रदान करने के लिए बेहतर प्रक्रियाओं को रखा जाना चाहिए।<ref>{{Cite journal |last=Ogîgău-Neamţiu |first=F. |date=2017 |title=डेटा सुरक्षा प्रक्रिया को स्वचालित करना|journal=Journal of Defense Resources Management (JoDRM) |volume=8 |issue=2}}</ref> सुरक्षा सर्वोत्तम प्रथाओं का उपयोग करके टोकन प्रणाली को सुरक्षित और मान्य किया जाना चाहिए<ref>{{Cite web |url=https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project |title=OWASP टॉप टेन प्रोजेक्ट|access-date=2014-04-01 |archive-url=https://web.archive.org/web/20191201191321/https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project |archive-date=2019-12-01 |url-status=dead }}</ref> संवेदनशील आँकड़ा सुरक्षा, सुरक्षित भंडारण, अंकेक्षण, प्रमाणीकरण और प्राधिकरण के लिए लागू है। टोकनाइजेशन प्रणाली आँकड़ा प्रक्रमण उपयोग को प्राधिकरण के साथ प्रदान करता है और टोकन का अनुरोध करने के लिए अंतरापृष्ठ करता है, या संवेदनशील आँकड़ा को वापस डिटोकेनाइज करता है। | ||
टोकनाइजेशन के सुरक्षा और जोखिम में कमी के लाभों के लिए आवश्यक है कि टोकनाइजेशन प्रणाली तार्किक रूप से अलग-थलग हो और आँकड़ा प्रक्रमण प्रणाली और अनुप्रयोगों से खंडित हो जो पहले टोकन द्वारा प्रतिस्थापित संवेदनशील आँकड़ा को संसाधित या संग्रहीत करते थे। टोकन बनाने के लिए केवल टोकननाइजेशन प्रणाली आँकड़े को टोकन कर सकता है, या सख्त सुरक्षा नियंत्रणों के | टोकनाइजेशन के सुरक्षा और जोखिम में कमी के लाभों के लिए आवश्यक है कि टोकनाइजेशन प्रणाली तार्किक रूप से अलग-थलग हो और आँकड़ा प्रक्रमण प्रणाली और अनुप्रयोगों से खंडित हो जो पहले टोकन द्वारा प्रतिस्थापित संवेदनशील आँकड़ा को संसाधित या संग्रहीत करते थे। टोकन बनाने के लिए केवल टोकननाइजेशन प्रणाली आँकड़े को टोकन कर सकता है, या सख्त सुरक्षा नियंत्रणों के अनुसार संवेदनशील आँकड़े को भुनाने के लिए वापस डीटोकनाइज कर सकता है। टोकन उत्पादन विधि में यह गुण होना चाहिए कि प्रत्यक्ष आक्षेप करने, क्रिप्ट विश्लेषण, पार्श्व चैनल विश्लेषण, टोकन मैपिंग टेबल अपावरण या पशुपन तकनीकों के माध्यम से टोकन को सजीव आँकड़ा में वापस लाने के लिए कोई व्यवहार्य साधन नहीं है। | ||
प्रणाली में टोकन के साथ सजीव आँकड़े को बदलने का उद्देश्य संवेदनशील आँकड़े के उन अनुप्रयोगों, भंडार, लोगों और प्रक्रियाओं के जोखिम को कम करना है, समझौता या आकस्मिक जोखिम और संवेदनशील आँकड़े तक अनधिकृत पहुंच के जोखिम को कम करना है। अनुप्रयोगों को सजीव आँकड़े के | प्रणाली में टोकन के साथ सजीव आँकड़े को बदलने का उद्देश्य संवेदनशील आँकड़े के उन अनुप्रयोगों, भंडार, लोगों और प्रक्रियाओं के जोखिम को कम करना है, समझौता या आकस्मिक जोखिम और संवेदनशील आँकड़े तक अनधिकृत पहुंच के जोखिम को कम करना है। अनुप्रयोगों को सजीव आँकड़े के अतिरिक्त टोकन का उपयोग करके संचालित किया जा सकता है, एक छोटी संख्या में विश्वसनीय अनुप्रयोगों के अपवाद के साथ स्पष्ट रूप से अनुमोदित व्यावसायिक उद्देश्य के लिए सख्ती से आवश्यक होने पर स्पष्ट रूप से अनुमति दी जाती है। टोकननाइजेशन प्रणाली आँकड़ा सेंटर के एक सुरक्षित पृथक खंड के भीतर या एक सुरक्षित सेवा प्रदाता से सेवा के रूप में संचालित किया जा सकता है। | ||
टोकनाइजेशन का उपयोग संवेदनशील आँकड़े की सुरक्षा के लिए किया जा सकता है, उदाहरण के लिए, बैंक खाते, [[वित्तीय विवरण]], [[ चिकित्सा रिकॉर्ड | चिकित्सा अभिलेख]] , [[आपराधिक रिकॉर्ड|आपराधिक अभिलेख]], चालक लाइसेंस, ऋण आवेदन, शेयर व्यापार (वित्तीय साधन), मतदाता पंजीकरण, और अन्य प्रकार की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) ). टोकनाइजेशन का उपयोग | टोकनाइजेशन का उपयोग संवेदनशील आँकड़े की सुरक्षा के लिए किया जा सकता है, उदाहरण के लिए, बैंक खाते, [[वित्तीय विवरण]], [[ चिकित्सा रिकॉर्ड | चिकित्सा अभिलेख]] , [[आपराधिक रिकॉर्ड|आपराधिक अभिलेख]], चालक लाइसेंस, ऋण आवेदन, शेयर व्यापार (वित्तीय साधन), मतदाता पंजीकरण, और अन्य प्रकार की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) ). टोकनाइजेशन का उपयोग अधिकांशत: क्रेडिट कार्ड प्रक्रमण में किया जाता है। [[भुगतान कार्ड उद्योग डेटा सुरक्षा मानक|भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक]] टोकननाइजेशन को एक प्रक्रिया के रूप में परिभाषित करता है जिसके द्वारा [[प्राथमिक खाता संख्या]] (पैन) को एक प्रतिनिधिक मूल्य के साथ बदल दिया जाता है जिसे टोकन कहा जाता है। टोकनाइजेशन प्रक्रिया के माध्यम से एक पैन को एक संदर्भ संख्या से जोड़ा जा सकता है। इस मामले में, व्यापारी को केवल टोकन को बनाए रखना होता है और एक विश्वसनीय तृतीय पक्ष सम्बन्ध को नियंत्रित करता है और पैन रखता है। टोकन को पैन से स्वतंत्र रूप से बनाया जा सकता है, या पैन को टोकननाइजेशन तकनीक में आँकड़ा निविष्ट के हिस्से के रूप में उपयोग किया जा सकता है। पैन और टोकन हासिल करने के लिए आक्रामक को विच्छेदक करने से रोकने के लिए व्यापारी और तीसरे पक्ष के आपूर्तिकर्ता के बीच संचार सुरक्षित होना चाहिए।<ref>{{Cite journal |last1=Stapleton |first1=J. |last2=Poore |first2=R. S. |date=2011 |title=कार्डधारक डेटा के लिए टोकनकरण और सुरक्षा के अन्य तरीके|journal=Information Security Journal: A Global Perspective |volume=20 |issue=2 |pages=91–99|doi=10.1080/19393555.2011.560923 |s2cid=46272415 }}</ref> | ||
डी-टोकनाइजेशन<ref>{{Cite book|last=Y.|first=Habash, Nizar|url=http://worldcat.org/oclc/1154286658|title=अरबी प्राकृतिक भाषा प्रसंस्करण का परिचय|date=2010|publisher=Morgan & Claypool|isbn=978-1-59829-796-6|oclc=1154286658}}</ref> इसके संबंधित पैन मूल्य के लिए एक टोकन को भुनाने की विपरीत प्रक्रिया है। एक व्यक्तिगत टोकन की सुरक्षा मुख्य रूप से केवल प्रतिनिधिक मूल्य जानने वाले मूल पैन को निर्धारित करने की अक्षमता पर निर्भर करती है।<ref>[https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf PCI DSS Tokenization Guidelines]</ref> [[ कूटलेखन ]] जैसी अन्य तकनीकों के विकल्प के रूप में टोकननाइजेशन का विकल्प अलग-अलग नियामक आवश्यकताओं, व्याख्या और संबंधित अंकेक्षणिंग या मूल्यांकन संस्थाओं द्वारा स्वीकृति पर निर्भर करेगा। यह किसी भी तकनीकी, वास्तु या परिचालन बाधा के अतिरिक्त है जो व्यावहारिक उपयोग में टोकननाइजेशन लगाता है। | डी-टोकनाइजेशन<ref>{{Cite book|last=Y.|first=Habash, Nizar|url=http://worldcat.org/oclc/1154286658|title=अरबी प्राकृतिक भाषा प्रसंस्करण का परिचय|date=2010|publisher=Morgan & Claypool|isbn=978-1-59829-796-6|oclc=1154286658}}</ref> इसके संबंधित पैन मूल्य के लिए एक टोकन को भुनाने की विपरीत प्रक्रिया है। एक व्यक्तिगत टोकन की सुरक्षा मुख्य रूप से केवल प्रतिनिधिक मूल्य जानने वाले मूल पैन को निर्धारित करने की अक्षमता पर निर्भर करती है।<ref>[https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf PCI DSS Tokenization Guidelines]</ref> [[ कूटलेखन ]] जैसी अन्य तकनीकों के विकल्प के रूप में टोकननाइजेशन का विकल्प अलग-अलग नियामक आवश्यकताओं, व्याख्या और संबंधित अंकेक्षणिंग या मूल्यांकन संस्थाओं द्वारा स्वीकृति पर निर्भर करेगा। यह किसी भी तकनीकी, वास्तु या परिचालन बाधा के अतिरिक्त है जो व्यावहारिक उपयोग में टोकननाइजेशन लगाता है। | ||
Line 18: | Line 18: | ||
[[भुगतान कार्ड]] उद्योग में, उद्योग मानकों और सरकारी नियमों का पालन करने के लिए संवेदनशील कार्डधारक आँकड़ा की रक्षा करने का एक साधन है।<ref>{{Cite web |url=http://www.hotel-online.com/News/PR2005_4th/Oct05_Shift4.html |title=टोकनाइजेशन मर्चेंट पीसीआई अनुपालन को आसान बनाता है|access-date=2013-03-28 |archive-url=https://web.archive.org/web/20121103225221/http://www.hotel-online.com/News/PR2005_4th/Oct05_Shift4.html |archive-date=2012-11-03 |url-status=dead }}</ref> | [[भुगतान कार्ड]] उद्योग में, उद्योग मानकों और सरकारी नियमों का पालन करने के लिए संवेदनशील कार्डधारक आँकड़ा की रक्षा करने का एक साधन है।<ref>{{Cite web |url=http://www.hotel-online.com/News/PR2005_4th/Oct05_Shift4.html |title=टोकनाइजेशन मर्चेंट पीसीआई अनुपालन को आसान बनाता है|access-date=2013-03-28 |archive-url=https://web.archive.org/web/20121103225221/http://www.hotel-online.com/News/PR2005_4th/Oct05_Shift4.html |archive-date=2012-11-03 |url-status=dead }}</ref> | ||
2001 में, ट्रस्टकामर्स ने क्लाइंट क्लासमेट्स डॉट कॉम के लिए संवेदनशील भुगतान आँकड़ा की सुरक्षा के लिए टोकनाइजेशन की अवधारणा बनाई।<ref>{{Cite news|url=http://www.trustcommerce.com/blog/where-did-tokenization-come-from/|title=Where Did Tokenization Come From?|newspaper=TrustCommerce|access-date=2017-02-23|language=en-US}}</ref> इसने ट्रस्टकामर्स के संस्थापक रोब कॉलफ़ील्ड को | 2001 में, ट्रस्टकामर्स ने क्लाइंट क्लासमेट्स डॉट कॉम के लिए संवेदनशील भुगतान आँकड़ा की सुरक्षा के लिए टोकनाइजेशन की अवधारणा बनाई।<ref>{{Cite news|url=http://www.trustcommerce.com/blog/where-did-tokenization-come-from/|title=Where Did Tokenization Come From?|newspaper=TrustCommerce|access-date=2017-02-23|language=en-US}}</ref> इसने ट्रस्टकामर्स के संस्थापक रोब कॉलफ़ील्ड को सम्मलित किया, क्योंकि यदि सिस्टम कभी हैक किया गया था तो कार्ड धारक डेटा को संग्रहीत करने का जोखिम बहुत अधिक था। ट्रस्टकामर्स ने टीसी साइटाडेल® विकसित किया है, जिसके साथ कार्ड धारक ग्राहक आँकड़ा के स्थान पर एक टोकन का संदर्भ दे सकते हैं और ट्रस्टकामर्स व्यापारी की ओर से भुगतान की प्रक्रिया करेगा।<ref>{{Cite web|url=http://trustcommerce.com/billing.html |title=ट्रस्टकामर्स|date=2001-04-05 |access-date=2017-02-23 |archive-url=https://web.archive.org/web/20010405203446/http://trustcommerce.com/billing.html |archive-date=2001-04-05 }}</ref> इस बिलिंग उपयोग ने ग्राहकों को कार्डधारक भुगतान जानकारी संग्रहीत करने की आवश्यकता के बिना आवर्ती भुगतानों को संसाधित करने की अनुमति दी। टोकनाइजेशन प्राथमिक खाता संख्या (पैन) को बेतरतीब ढंग से उत्पन्न टोकन के साथ बदल देता है। यदिअंतःखंडित किया जाता है, तो आँकड़ा में कार्डधारक की कोई जानकारी नहीं होती है, जो हैकर्स के लिए बेकार है। पैन को पुनः प्राप्त नहीं किया जा सकता है, भले ही टोकन और जिस प्रणाली पर यह रहता है, समझौता किया गया हो, न ही टोकन को पैन पर पहुंचने के लिए विपरीत इंजीनियर किया जा सकता है। | ||
[[Index.php?title=शिफ्ट4 भुगतान|शिफ्ट4 भुगतान]] द्वारा भुगतान कार्ड आँकड़े पर टोकनाइजेशन लागू किया गया था<ref>{{Cite web |url=https://www.reuters.com/article/2008/09/17/idUS168810+17-Sep-2008+PRN20080917 |title=Shift4 Corporation Releases Tokenization in Depth White Paper |website=[[Reuters]] |access-date=2017-07-02 |archive-url=https://web.archive.org/web/20140313203320/http://www.reuters.com/article/2008/09/17/idUS168810+17-Sep-2008+PRN20080917 |archive-date=2014-03-13 |url-status=dead }}</ref> और 2005 में [[ लास वेगास घाटी ]], [[नेवादा]] में एक उद्योग सुरक्षा शिखर सम्मेलन के दौरान जनता के लिए जारी किया गया।<ref>{{cite magazine |date= |title=Shift4 Launches Security Tool That Lets Merchants Re-Use Credit Card Data |url=http://www.internetretailer.com/internet/marketing-conference/36258-shift4-launches-security-tool-that-lets-merchants-re-use-credit-card-data.html |magazine=Internet Retailer |archive-url=https://web.archive.org/web/20150218062740/https://www.internetretailer.com/2005/10/13/shift4-launches-security-tool-that-lets-merchants-re-use-credit |archive-date=2005-10-13}}</ref> प्रौद्योगिकी भंडारण में क्रेडिट कार्ड की जानकारी की चोरी को रोकने के लिए है। शिफ्ट4 टोकनाइजेशन को इस प्रकार परिभाषित करता है: "संदर्भ, संवेदनशील या गुप्त आँकड़ा द्वारा प्रतिनिधित्व करने के लिए आँकड़े के एक गैर-डिक्रिप्टेबल टुकड़े का उपयोग करने की अवधारणा। [[भुगतान कार्ड उद्योग]] (पीसीआई) के संदर्भ में, टोकन का उपयोग कार्डधारक आँकड़ा को संदर्भित करने के लिए किया जाता है जिसे टोकननाइजेशन प्रणाली, उपयोग या ऑफ-साइट सुरक्षित सुविधा में प्रबंधित किया जाता है।<ref>{{Cite web |url=http://www.shift4.com/pr_20080917_tokenizationindepth.cfm |title=Shift4 Corporation Releases Tokenization in Depth White Paper |access-date=2010-09-17 |archive-url=https://web.archive.org/web/20110716055923/http://www.shift4.com/pr_20080917_tokenizationindepth.cfm |archive-date=2011-07-16 |url-status=dead }}</ref> | [[Index.php?title=शिफ्ट4 भुगतान|शिफ्ट4 भुगतान]] द्वारा भुगतान कार्ड आँकड़े पर टोकनाइजेशन लागू किया गया था<ref>{{Cite web |url=https://www.reuters.com/article/2008/09/17/idUS168810+17-Sep-2008+PRN20080917 |title=Shift4 Corporation Releases Tokenization in Depth White Paper |website=[[Reuters]] |access-date=2017-07-02 |archive-url=https://web.archive.org/web/20140313203320/http://www.reuters.com/article/2008/09/17/idUS168810+17-Sep-2008+PRN20080917 |archive-date=2014-03-13 |url-status=dead }}</ref> और 2005 में [[ लास वेगास घाटी ]], [[नेवादा]] में एक उद्योग सुरक्षा शिखर सम्मेलन के दौरान जनता के लिए जारी किया गया।<ref>{{cite magazine |date= |title=Shift4 Launches Security Tool That Lets Merchants Re-Use Credit Card Data |url=http://www.internetretailer.com/internet/marketing-conference/36258-shift4-launches-security-tool-that-lets-merchants-re-use-credit-card-data.html |magazine=Internet Retailer |archive-url=https://web.archive.org/web/20150218062740/https://www.internetretailer.com/2005/10/13/shift4-launches-security-tool-that-lets-merchants-re-use-credit |archive-date=2005-10-13}}</ref> प्रौद्योगिकी भंडारण में क्रेडिट कार्ड की जानकारी की चोरी को रोकने के लिए है। शिफ्ट4 टोकनाइजेशन को इस प्रकार परिभाषित करता है: "संदर्भ, संवेदनशील या गुप्त आँकड़ा द्वारा प्रतिनिधित्व करने के लिए आँकड़े के एक गैर-डिक्रिप्टेबल टुकड़े का उपयोग करने की अवधारणा। [[भुगतान कार्ड उद्योग]] (पीसीआई) के संदर्भ में, टोकन का उपयोग कार्डधारक आँकड़ा को संदर्भित करने के लिए किया जाता है जिसे टोकननाइजेशन प्रणाली, उपयोग या ऑफ-साइट सुरक्षित सुविधा में प्रबंधित किया जाता है।<ref>{{Cite web |url=http://www.shift4.com/pr_20080917_tokenizationindepth.cfm |title=Shift4 Corporation Releases Tokenization in Depth White Paper |access-date=2010-09-17 |archive-url=https://web.archive.org/web/20110716055923/http://www.shift4.com/pr_20080917_tokenizationindepth.cfm |archive-date=2011-07-16 |url-status=dead }}</ref> | ||
अपने पूर्ण जीवनचक्र पर आँकड़े की सुरक्षा के लिए, टोकननाइजेशन को | अपने पूर्ण जीवनचक्र पर आँकड़े की सुरक्षा के लिए, टोकननाइजेशन को अधिकांशत: टोकेनाइजेशन प्रणाली या सेवा में ट्रांज़िट में आँकड़ा को सुरक्षित करने के लिए [[Index.php?title=आद्यांत संचरण|आद्यांत संचरण]] के साथ जोड़ा जाता है, बदले में मूल आँकड़े को टोकन के साथ बदल दिया जाता है। उदाहरण के लिए, लो-ट्रस्ट प्रणाली जैसे [[बिक्री केन्द्र]] (POS) प्रणाली से आँकड़ा चोरी करने वाले [[मैलवेयर]] के जोखिम से बचने के लिए, [http://www.securityweek.com/experts-debate-how-hackers-stole- 40-मिलियन-कार्ड-नंबर-लक्षित लक्ष्य 2013 का उल्लंघन], कार्डधारक आँकड़ा कूटलेखन कार्ड आँकड़ा को पीओएस में प्रवेश करने से पहले होना चाहिए बाद में नहीं। कूटलेखन एक कठोर सुरक्षा और मान्य कार्ड पाट्यांक उपकरण की सीमा के भीतर होता है और प्रक्रमण होस्ट द्वारा प्राप्त किए जाने तक आँकड़ा गूढलेखित रहता है, [[ हार्टलैंड भुगतान प्रणाली ]] द्वारा अग्रणी एक दृष्टिकोण<ref>{{Cite web |url=http://philadelphiafed.org/consumer-credit-and-payments/payment-cards-center/publications/discussion-papers/2010/D-2010-January-Heartland-Payment-Systems.pdf |title=डेटा ब्रीच से सीखे गए सबक|access-date=2014-04-01 |archive-date=2013-05-02 |archive-url=http://webarchive.loc.gov/all/20130502162448/http://www.philadelphiafed.org/consumer-credit-and-payments/payment-cards-center/publications/discussion-papers/2010/D-2010-January-Heartland-Payment-Systems.pdf |url-status=dead }}</ref> भुगतान आँकड़ा को उन्नत खतरों से सुरक्षित करने के साधन के रूप में, अब उद्योग भुगतान प्रसंस्करण कंपनियों और प्रौद्योगिकी कंपनियों द्वारा व्यापक रूप से अपनाया गया है।<ref>[https://archive.today/20140401073840/http://www.eweek.com/c/a/IT-Infrastructure/Voltage-Ingencio-Partner-on-Data-Encryption-Platform-559537/ Voltage, Ingencio Partner on Data Encryption Platform]</ref> PCI काउंसिल ने विभिन्न सेवा कार्यान्वयनों के लिए आद्यांत कूटलेखन (प्रमाणित स्थलशः कूटलेखन-P2PE) भी निर्दिष्ट किया है [https://www.pcisecuritystandards.org/security_standards/documents.php PCI काउंसिल पॉइंट-टू -पॉइंट कूटलेखन] दस्तावेज़ है। | ||
== टोकनकरण प्रक्रिया == | == टोकनकरण प्रक्रिया == | ||
Line 27: | Line 27: | ||
* उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। | * उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। | ||
* उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। प्रमाणीकरण विफल होने पर इसे रोक दिया जाता है और आँकड़ा को घटना प्रबंधन प्रणाली में प्रदत्त किया जाता है। | * उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। प्रमाणीकरण विफल होने पर इसे रोक दिया जाता है और आँकड़ा को घटना प्रबंधन प्रणाली में प्रदत्त किया जाता है। परिणाम स्वरुप, प्रशासक समस्याओं की खोज कर सकते हैं और प्रणाली को प्रभावी ढंग से प्रबंधित कर सकते हैं। प्रमाणीकरण सफल होने पर प्रणाली अगले चरण पर जाता है। | ||
* एक तरफ़ा गूढ़ालेखी तकनीकों का उपयोग करके, एक टोकन उत्पन्न किया जाता है और अत्यधिक सुरक्षित आँकड़ा कोष्ठ में रखा जाता है। | * एक तरफ़ा गूढ़ालेखी तकनीकों का उपयोग करके, एक टोकन उत्पन्न किया जाता है और अत्यधिक सुरक्षित आँकड़ा कोष्ठ में रखा जाता है। | ||
* आगे उपयोग के लिए एप्लिकेशन को नया टोकन प्रदान किया जाता है।<ref>{{Cite journal |last=Ogigau-Neamtiu |first=F. |date=2016 |title=डेटा सुरक्षा तकनीक के रूप में टोकनकरण|url=http://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-7680b362-6a77-420a-aff6-9409bfb9efe6 |journal=Zeszyty Naukowe AON |language=EN |volume=nr 2(103) |issn=0867-2245}}</ref> | * आगे उपयोग के लिए एप्लिकेशन को नया टोकन प्रदान किया जाता है।<ref>{{Cite journal |last=Ogigau-Neamtiu |first=F. |date=2016 |title=डेटा सुरक्षा तकनीक के रूप में टोकनकरण|url=http://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-7680b362-6a77-420a-aff6-9409bfb9efe6 |journal=Zeszyty Naukowe AON |language=EN |volume=nr 2(103) |issn=0867-2245}}</ref> | ||
टोकननाइजेशन प्रणाली स्थापित मानकों के अनुसार कई घटकों को साझा करते हैं। | टोकननाइजेशन प्रणाली स्थापित मानकों के अनुसार कई घटकों को साझा करते हैं। | ||
# टोकन उत्पादन किसी भी माध्यम का उपयोग करके एक टोकन बनाने की प्रक्रिया है, जैसे कि मजबूत कूटलेखन कलनविधि और प्रमुख प्रबंधन तंत्र के आधार पर गणितीय रूप से प्रतिवर्ती गूढ़ालेखी फलन, एक तरफ़ा अपरिवर्तनीय गूढ़ालेखी फलन (जैसे, मजबूत, गुप्त नमक के साथ एक हैश फलन), या बेतरतीब ढंग से उत्पन्न संख्या के माध्यम से समनुदेशन है। बेतरतीब ढंग से सृजित संख्या (आरएनजी) तकनीक | # टोकन उत्पादन किसी भी माध्यम का उपयोग करके एक टोकन बनाने की प्रक्रिया है, जैसे कि मजबूत कूटलेखन कलनविधि और प्रमुख प्रबंधन तंत्र के आधार पर गणितीय रूप से प्रतिवर्ती गूढ़ालेखी फलन, एक तरफ़ा अपरिवर्तनीय गूढ़ालेखी फलन (जैसे, मजबूत, गुप्त नमक के साथ एक हैश फलन), या बेतरतीब ढंग से उत्पन्न संख्या के माध्यम से समनुदेशन है। बेतरतीब ढंग से सृजित संख्या (आरएनजी) तकनीक अधिकांशत: टोकन वैल्यू उत्पन्न करने के लिए सबसे अच्छा विकल्प होती है। | ||
# टोकन मैपिंग - यह बनाई गई टोकन वैल्यू को उसके मूल मूल्य पर नियुक्त करने की प्रक्रिया है। सूचकांक के रूप में टोकन का उपयोग करके मूल मूल्य के अनुमत अवलोकन को सक्षम करने के लिए, एक सुरक्षित प्रतिसंदर्भ आँकड़ाबेस का निर्माण किया जाना चाहिए। | # टोकन मैपिंग - यह बनाई गई टोकन वैल्यू को उसके मूल मूल्य पर नियुक्त करने की प्रक्रिया है। सूचकांक के रूप में टोकन का उपयोग करके मूल मूल्य के अनुमत अवलोकन को सक्षम करने के लिए, एक सुरक्षित प्रतिसंदर्भ आँकड़ाबेस का निर्माण किया जाना चाहिए। | ||
# टोकन आँकड़ा भंडार - यह टोकन मैपिंग प्रक्रिया के लिए एक केंद्रीय भंडार है जो मूल मूल्यों के साथ-साथ टोकन उत्पादन प्रक्रिया के बाद संबंधित टोकन मूल्यों को रखता है। आँकड़ा परिसेवक पर, संवेदनशील आँकड़ा और टोकन वैल्यू को गूढलेखित प्रारूप में सुरक्षित रूप से रखा जाना चाहिए। | # टोकन आँकड़ा भंडार - यह टोकन मैपिंग प्रक्रिया के लिए एक केंद्रीय भंडार है जो मूल मूल्यों के साथ-साथ टोकन उत्पादन प्रक्रिया के बाद संबंधित टोकन मूल्यों को रखता है। आँकड़ा परिसेवक पर, संवेदनशील आँकड़ा और टोकन वैल्यू को गूढलेखित प्रारूप में सुरक्षित रूप से रखा जाना चाहिए। | ||
Line 41: | Line 41: | ||
== कूटलेखन से अंतर == | == कूटलेखन से अंतर == | ||
टोकनाइजेशन और "उत्कृष्ट" कूटलेखन प्रभावी रूप से लागू होने पर आँकड़े की प्रभावी ढंग से रक्षा करते हैं, और एक अभिकलित्र सुरक्षा प्रणाली दोनों का उपयोग कर सकती है। जबकि कुछ | टोकनाइजेशन और "उत्कृष्ट" कूटलेखन प्रभावी रूप से लागू होने पर आँकड़े की प्रभावी ढंग से रक्षा करते हैं, और एक अभिकलित्र सुरक्षा प्रणाली दोनों का उपयोग कर सकती है। जबकि कुछ स्थितियों में समान, टोकननाइजेशन और उत्कृष्ट कूटलेखन कुछ प्रमुख पहलुओं में भिन्न हैं। दोनों [[Index.php?title=गूढ़लेखन|गूढ़लेखन]] आँकड़ा सुरक्षा विधियां हैं और उनके पास अनिवार्य रूप से एक ही कार्य है, चूंकि वे अलग-अलग प्रक्रियाओं के साथ ऐसा करते हैं और जिस आँकड़ा की वे रक्षा कर रहे हैं उस पर अलग-अलग प्रभाव पड़ते हैं। | ||
टोकनाइजेशन एक गैर-गणितीय दृष्टिकोण है जो संवेदनशील आँकड़ा को गैर-संवेदनशील विकल्पों के साथ आँकड़ा के प्रकार या लंबाई में बदलाव किए बिना बदल देता है। यह कूटलेखन से एक महत्वपूर्ण अंतर है क्योंकि आँकड़ा की लंबाई और प्रकार में परिवर्तन आँकड़ाबेस जैसे मध्यवर्ती प्रणाली में जानकारी को अपठनीय बना सकता है। टोकन आँकड़ा को अभी भी लीगेसी प्रणाली द्वारा संसाधित किया जा सकता है जो उत्कृष्ट कूटलेखन की तुलना में टोकननाइज़ेशन को अधिक लचीला बनाता है। | टोकनाइजेशन एक गैर-गणितीय दृष्टिकोण है जो संवेदनशील आँकड़ा को गैर-संवेदनशील विकल्पों के साथ आँकड़ा के प्रकार या लंबाई में बदलाव किए बिना बदल देता है। यह कूटलेखन से एक महत्वपूर्ण अंतर है क्योंकि आँकड़ा की लंबाई और प्रकार में परिवर्तन आँकड़ाबेस जैसे मध्यवर्ती प्रणाली में जानकारी को अपठनीय बना सकता है। टोकन आँकड़ा को अभी भी लीगेसी प्रणाली द्वारा संसाधित किया जा सकता है जो उत्कृष्ट कूटलेखन की तुलना में टोकननाइज़ेशन को अधिक लचीला बनाता है। | ||
Line 53: | Line 53: | ||
== टोकन के प्रकार == | == टोकन के प्रकार == | ||
ऐसे कई तरीके हैं जिनसे टोकन को वर्गीकृत किया जा सकता है | ऐसे कई तरीके हैं जिनसे टोकन को वर्गीकृत किया जा सकता है चूंकि वर्तमान में कोई एकीकृत वर्गीकरण नहीं है। टोकन : एकल या बहु-उपयोगी, गूढ़लेखन या गैर-गूढ़ालेखी, प्रतिवर्ती या अपरिवर्तनीय, प्रामाणिक या गैर-प्रामाणिक, और इसके विभिन्न संयोजन हो सकते हैं। | ||
भुगतान के संदर्भ में, उच्च और निम्न मूल्य के टोकन के बीच का अंतर एक महत्वपूर्ण भूमिका निभाता है। | भुगतान के संदर्भ में, उच्च और निम्न मूल्य के टोकन के बीच का अंतर एक महत्वपूर्ण भूमिका निभाता है। | ||
Line 62: | Line 62: | ||
इसके अतिरिक्त, एचवीटी कुछ नेटवर्क या व्यापारियों तक सीमित हो सकते हैं जबकि पैन नहीं कर सकते है। | इसके अतिरिक्त, एचवीटी कुछ नेटवर्क या व्यापारियों तक सीमित हो सकते हैं जबकि पैन नहीं कर सकते है। | ||
एचवीटी को विशिष्ट उपकरणों से भी जोड़ा जा सकता है | एचवीटी को विशिष्ट उपकरणों से भी जोड़ा जा सकता है जिससे कि टोकन उपयोग, भौतिक उपकरणों और भौगोलिक स्थानों के बीच विसंगतियों को संभावित धोखाधड़ी के रूप में चिह्नित किया जा सके। | ||
=== कम मूल्य के टोकन (एलवीटी) या सुरक्षा टोकन === | === कम मूल्य के टोकन (एलवीटी) या सुरक्षा टोकन === | ||
एलवीटी भुगतान लेनदेन में वास्तविक पैन के लिए प्रतिनिधि के रूप में भी कार्य करते हैं, | एलवीटी भुगतान लेनदेन में वास्तविक पैन के लिए प्रतिनिधि के रूप में भी कार्य करते हैं, चूंकि वे एक अलग उद्देश्य पूरा करते हैं। भुगतान लेनदेन को पूरा करने के लिए एलवीटी का उपयोग स्वयं नहीं किया जा सकता है। एलवीटी के कार्य करने के लिए, इसे वास्तविक पैन से वापस मिलान करना संभव होना चाहिए, भले ही यह केवल कड़े नियंत्रित फलन में हो। यदि एक टोकन प्रणाली का उल्लंघन किया जाता है, तो पैन की सुरक्षा के लिए टोकन का उपयोग करना अप्रभावी हो जाता है, इसलिए टोकन प्रणाली को सुरक्षित करना अत्यंत महत्वपूर्ण है। | ||
== प्रणाली संचालन, सीमाएं और विकास == | == प्रणाली संचालन, सीमाएं और विकास == | ||
पहली पीढ़ी के टोकेनाइजेशन प्रणाली सजीव आँकड़ा से प्रतिनिधिक स्थानापन्न टोकन और वापस मैप करने के लिए एक आँकड़ाबेस का उपयोग करते हैं। आँकड़ा हानि से बचने के लिए टोकन आँकड़ाबेस में जोड़े गए प्रत्येक नए लेनदेन के लिए भंडारण, प्रबंधन और निरंतर बैकअप की आवश्यकता होती है। एक अन्य समस्या आँकड़ा केंद्रों में निरंतरता सुनिश्चित करना है, जिसके लिए टोकन आँकड़ाबेस के निरंतर तुल्यकालन की आवश्यकता होती है। सीएपी प्रमेय के अनुसार महत्वपूर्ण स्थिरता, उपलब्धता और प्रदर्शन व्यापार-नापसंद, इस दृष्टिकोण से अपरिहार्य हैं। यह शिरोपरि आँकड़ा हानि से बचने और आँकड़ा केंद्रों में आँकड़ा अखंडता को सुनिश्चित करने के लिए समयोचित लेनदेन प्रसंस्करण में जटिलता जोड़ता है, और पैमाने को भी सीमित करता है। सभी संवेदनशील आँकड़ा को एक सेवा में संग्रहीत करना आक्षेप करना और समझौता करने के लिए एक आकर्षक लक्ष्य बनाता है, और आँकड़ा [[इंटरनेट गोपनीयता]], विशेष रूप से आँकड़ा सुरक्षा निर्देश के एकत्रीकरण में गोपनीयता और कानूनी जोखिम पेश करता है। | पहली पीढ़ी के टोकेनाइजेशन प्रणाली सजीव आँकड़ा से प्रतिनिधिक स्थानापन्न टोकन और वापस मैप करने के लिए एक आँकड़ाबेस का उपयोग करते हैं। आँकड़ा हानि से बचने के लिए टोकन आँकड़ाबेस में जोड़े गए प्रत्येक नए लेनदेन के लिए भंडारण, प्रबंधन और निरंतर बैकअप की आवश्यकता होती है। एक अन्य समस्या आँकड़ा केंद्रों में निरंतरता सुनिश्चित करना है, जिसके लिए टोकन आँकड़ाबेस के निरंतर तुल्यकालन की आवश्यकता होती है। सीएपी प्रमेय के अनुसार महत्वपूर्ण स्थिरता, उपलब्धता और प्रदर्शन व्यापार-नापसंद, इस दृष्टिकोण से अपरिहार्य हैं। यह शिरोपरि आँकड़ा हानि से बचने और आँकड़ा केंद्रों में आँकड़ा अखंडता को सुनिश्चित करने के लिए समयोचित लेनदेन प्रसंस्करण में जटिलता जोड़ता है, और पैमाने को भी सीमित करता है। सभी संवेदनशील आँकड़ा को एक सेवा में संग्रहीत करना आक्षेप करना और समझौता करने के लिए एक आकर्षक लक्ष्य बनाता है, और आँकड़ा [[इंटरनेट गोपनीयता]], विशेष रूप से आँकड़ा सुरक्षा निर्देश के एकत्रीकरण में गोपनीयता और कानूनी जोखिम पेश करता है। | ||
टोकननाइजेशन प्रौद्योगिकियों की एक और सीमा स्वतंत्र सत्यापन के माध्यम से दिए गए समाधान के लिए सुरक्षा के स्तर को माप रही है। मानकों की कमी के साथ, जब नियामक अनुपालन के लिए टोकन का उपयोग किया जाता है तो टोकन की पेशकश की ताकत स्थापित करने के लिए उत्तरार्द्ध महत्वपूर्ण है। [[भुगतान कार्ड उद्योग सुरक्षा मानक परिषद]] सुरक्षा और अनुपालन के किसी भी दावे की स्वतंत्र जांच और सत्यापन की सिफारिश करती है: टोकन के उपयोग पर विचार करने वाले व्यापारियों को उनके विशेष कार्यान्वयन की अनूठी विशेषताओं की पहचान करने और दस्तावेज करने के लिए गहन मूल्यांकन और जोखिम विश्लेषण करना चाहिए, जिसमें सभी अन्तःक्रिया | टोकननाइजेशन प्रौद्योगिकियों की एक और सीमा स्वतंत्र सत्यापन के माध्यम से दिए गए समाधान के लिए सुरक्षा के स्तर को माप रही है। मानकों की कमी के साथ, जब नियामक अनुपालन के लिए टोकन का उपयोग किया जाता है तो टोकन की पेशकश की ताकत स्थापित करने के लिए उत्तरार्द्ध महत्वपूर्ण है। [[भुगतान कार्ड उद्योग सुरक्षा मानक परिषद]] सुरक्षा और अनुपालन के किसी भी दावे की स्वतंत्र जांच और सत्यापन की सिफारिश करती है: टोकन के उपयोग पर विचार करने वाले व्यापारियों को उनके विशेष कार्यान्वयन की अनूठी विशेषताओं की पहचान करने और दस्तावेज करने के लिए गहन मूल्यांकन और जोखिम विश्लेषण करना चाहिए, जिसमें सभी अन्तःक्रिया सम्मलित हैं। भुगतान कार्ड आँकड़ा और विशेष टोकन प्रणाली और प्रक्रियाएं<ref>[https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf PCI Council Tokenization Guidelines]</ref> | ||
सुरक्षा के दृष्टिकोण से टोकन बनाने की विधि की भी सीमाएँ हो सकती हैं। यादृच्छिक संख्या जनरेटर आक्षेप करने के लिए सुरक्षा और हमलों के बारे में चिंताओं के साथ, जो टोकन और टोकन मैपिंग टेबल की पीढ़ी के लिए एक | सुरक्षा के दृष्टिकोण से टोकन बनाने की विधि की भी सीमाएँ हो सकती हैं। यादृच्छिक संख्या जनरेटर आक्षेप करने के लिए सुरक्षा और हमलों के बारे में चिंताओं के साथ, जो टोकन और टोकन मैपिंग टेबल की पीढ़ी के लिए एक सामान्य पसंद है, यह सुनिश्चित करने के लिए जांच की जानी चाहिए कि सिद्ध और मान्य तरीकों का उपयोग यादृच्छिक अभिकल्पना के विरुद्ध किया जाता है।<ref>[http://blog.cryptographyengineering.com/2014/03/how-do-you-know-if-rng-is-working.html How do you know if an RNG is working?]</ref><ref>{{Cite journal |last1=Gimenez |first1=Gregoire |last2=Cherkaoui |first2=Abdelkarim |last3=Frisch |first3=Raphael |last4=Fesquet |first4=Laurent |date=2017-07-01 |title=Self-timed Ring based True Random Number Generator: Threat model and countermeasures |url=https://ieeexplore.ieee.org/document/8031541 |journal=2017 IEEE 2nd International Verification and Security Workshop (IVSW) |location=Thessaloniki, Greece |publisher=IEEE |pages=31–38 |doi=10.1109/IVSW.2017.8031541 |isbn=978-1-5386-1708-3|s2cid=10190423 }}</ref> [[Index.php?title=गूढ़लेखिकी रूप से सुरक्षित छद्म यादृच्छिक संख्या जनित्र|गूढ़लेखिकी रूप से सुरक्षित छद्म यादृच्छिक संख्या जनित्र]] की गति, एन्ट्रापी, सीडिंग और पूर्वाग्रह के मामले में सीमाएं हैं, और भविष्यवाणी और समझौता से बचने के लिए सुरक्षा गुणों का सावधानीपूर्वक विश्लेषण और मापन किया जाना चाहिए। | ||
टोकनाइजेशन के बढ़ते अपनाने के साथ, इस तरह के परिचालन जोखिमों और जटिलताओं को दूर करने के लिए और विशेष रूप से वित्तीय सेवाओं और बैंकिंग में उच्च प्रदर्शन लेनदेन प्रसंस्करण के उभरते हुए बड़े आँकड़ा उपयोग के | टोकनाइजेशन के बढ़ते अपनाने के साथ, इस तरह के परिचालन जोखिमों और जटिलताओं को दूर करने के लिए और विशेष रूप से वित्तीय सेवाओं और बैंकिंग में उच्च प्रदर्शन लेनदेन प्रसंस्करण के उभरते हुए बड़े आँकड़ा उपयोग के स्थितियों और उच्च प्रदर्शन लेनदेन प्रसंस्करण के अनुकूल बढ़े हुए पैमाने को सक्षम करने के लिए नए टोकन प्रौद्योगिकी दृष्टिकोण उभरे हैं।<ref> | ||
{{Cite web |last=Vijayan |first=Jaikumar |date=2014-02-12 |title=Banks push for tokenization standard to secure credit card payments |url=https://www.computerworld.com/article/2487635/banks-push-for-tokenization-standard-to-secure-credit-card-payments.html |access-date=2022-11-23 |website=Computerworld |language=en}} | {{Cite web |last=Vijayan |first=Jaikumar |date=2014-02-12 |title=Banks push for tokenization standard to secure credit card payments |url=https://www.computerworld.com/article/2487635/banks-push-for-tokenization-standard-to-secure-credit-card-payments.html |access-date=2022-11-23 |website=Computerworld |language=en}} | ||
</ref> पारंपरिक टोकेनाइजेशन विधियों के | </ref> पारंपरिक टोकेनाइजेशन विधियों के अतिरिक्त, प्रोटेग्रिटी अपनी तथाकथित अस्पष्टता परत के माध्यम से अतिरिक्त सुरक्षा प्रदान करती है। यह एक बाधा उत्पन्न करता है जो न केवल नियमित उपयोगकर्ताओं को उन सूचनाओं तक पहुँचने से रोकता है जिन्हें वे नहीं देख पाएंगे बल्कि उन विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी रोकता है जिनके पास पहुँच है, जैसे आँकड़ाबेस प्रशासक।<ref>{{Cite news |last=Mark |first=S. J. |date=2018 |title=De-identification of personal information for use in software testing to ensure compliance with the Protection of Personal Information Act}}</ref> | ||
स्टेटलेस टोकेनाइजेशन सजीव आँकड़ा एलिमेंट्स की रैंडम मैपिंग को आँकड़ाबेस की आवश्यकता के बिना मूल्यों कोप्रतिनिधिक करने में सक्षम बनाता है जबकि टोकनाइजेशन के आइसोलेशन गुणों को बनाए रखता है। | स्टेटलेस टोकेनाइजेशन सजीव आँकड़ा एलिमेंट्स की रैंडम मैपिंग को आँकड़ाबेस की आवश्यकता के बिना मूल्यों कोप्रतिनिधिक करने में सक्षम बनाता है जबकि टोकनाइजेशन के आइसोलेशन गुणों को बनाए रखता है। | ||
नवंबर 2014, [[अमेरिकन एक्सप्रेस]] ने अपनी टोकन सेवा जारी की जो [[Index.php?title=ईएमवी|ईएमवी]] टोकनीकरण मानक को पूरा करती है।<ref>{{cite web |url=http://about.americanexpress.com/news/pr/2014/amex-intros-online-mobile-payment-security.aspx |title=अमेरिकन एक्सप्रेस ने नई ऑनलाइन और मोबाइल भुगतान सुरक्षा सेवाओं की शुरुआत की|website=AmericanExpress.com |date=3 November 2014 |access-date=2014-11-04 |archive-url=https://web.archive.org/web/20141104055035/http://about.americanexpress.com/news/pr/2014/amex-intros-online-mobile-payment-security.aspx |archive-date=2014-11-04 |url-status=dead }}</ref> EMVCo मानक के अनुसार, टोकन-आधारित भुगतान प्रणाली के अन्य उल्लेखनीय उदाहरणों में गूगल वॉलेट, [[Index.php?title=एप्पल पे|एप्पल पे]], | नवंबर 2014, [[अमेरिकन एक्सप्रेस]] ने अपनी टोकन सेवा जारी की जो [[Index.php?title=ईएमवी|ईएमवी]] टोकनीकरण मानक को पूरा करती है।<ref>{{cite web |url=http://about.americanexpress.com/news/pr/2014/amex-intros-online-mobile-payment-security.aspx |title=अमेरिकन एक्सप्रेस ने नई ऑनलाइन और मोबाइल भुगतान सुरक्षा सेवाओं की शुरुआत की|website=AmericanExpress.com |date=3 November 2014 |access-date=2014-11-04 |archive-url=https://web.archive.org/web/20141104055035/http://about.americanexpress.com/news/pr/2014/amex-intros-online-mobile-payment-security.aspx |archive-date=2014-11-04 |url-status=dead }}</ref> EMVCo मानक के अनुसार, टोकन-आधारित भुगतान प्रणाली के अन्य उल्लेखनीय उदाहरणों में गूगल वॉलेट, [[Index.php?title=एप्पल पे|एप्पल पे]], सम्मलित हैं।<ref>{{Cite web |title=Apple Pay Programming Guide: About Apple Pay |url=https://developer.apple.com/library/archive/ApplePay_Guide/index.html |access-date=2022-11-23 |website=developer.apple.com}}</ref> [[सैमसंग पे]], [[माइक्रोसॉफ्ट वॉलेट]], [[फिटबिट पे]] और [[गार्मिन पे]]। वीज़ा इंक एक सुरक्षित ऑनलाइन और मोबाइल खरीदारी प्रदान करने के लिए टोकननाइजेशन तकनीकों का उपयोग करता है।<ref>{{Cite web |title=वीजा टोकन सेवा|url=https://usa.visa.com/products/visa-token-service.html |access-date=2022-11-23 |website=usa.visa.com |language=en}}</ref> | ||
ब्लॉकचैन का उपयोग करते हुए, विश्वसनीय तृतीय पक्षों पर भरोसा करने के विपरीत, लेन-देन के लिए अत्यधिक सुलभ, छेड़छाड़-प्रतिरोधी आँकड़ाबेस चलाना संभव है।<ref>{{Cite journal |last1=Beck |first1=Roman |last2=Avital |first2=Michel |last3=Rossi |first3=Matti |last4=Thatcher |first4=Jason Bennett |date=2017-12-01 |title=व्यापार और सूचना प्रणाली अनुसंधान में ब्लॉकचेन प्रौद्योगिकी|journal=Business & Information Systems Engineering |language=en |volume=59 |issue=6 |pages=381–384 |doi=10.1007/s12599-017-0505-1 |s2cid=3493388 |issn=1867-0202|doi-access=free }}</ref><ref>{{Cite news |last1=Çebi |first1=F. |last2=Bolat |first2=H.B. |last3=Atan |first3=T. |last4=Erzurumlu |first4=Ö. Y. |date=2021 |title=International Engineering and Technology Management Summit 2021–ETMS2021 Proceeding Book |publisher=İstanbul Technical University & Bahçeşehir University |isbn=978-975-561-522-6}}</ref> ब्लॉकचैन की मदद से, टोकेनाइजेशन एक मूर्त या अमूर्त संपत्ति के मूल्य को एक टोकन में परिवर्तित करने की प्रक्रिया है जिसे नेटवर्क पर विनिमय किया जा सकता है। | ब्लॉकचैन का उपयोग करते हुए, विश्वसनीय तृतीय पक्षों पर भरोसा करने के विपरीत, लेन-देन के लिए अत्यधिक सुलभ, छेड़छाड़-प्रतिरोधी आँकड़ाबेस चलाना संभव है।<ref>{{Cite journal |last1=Beck |first1=Roman |last2=Avital |first2=Michel |last3=Rossi |first3=Matti |last4=Thatcher |first4=Jason Bennett |date=2017-12-01 |title=व्यापार और सूचना प्रणाली अनुसंधान में ब्लॉकचेन प्रौद्योगिकी|journal=Business & Information Systems Engineering |language=en |volume=59 |issue=6 |pages=381–384 |doi=10.1007/s12599-017-0505-1 |s2cid=3493388 |issn=1867-0202|doi-access=free }}</ref><ref>{{Cite news |last1=Çebi |first1=F. |last2=Bolat |first2=H.B. |last3=Atan |first3=T. |last4=Erzurumlu |first4=Ö. Y. |date=2021 |title=International Engineering and Technology Management Summit 2021–ETMS2021 Proceeding Book |publisher=İstanbul Technical University & Bahçeşehir University |isbn=978-975-561-522-6}}</ref> ब्लॉकचैन की मदद से, टोकेनाइजेशन एक मूर्त या अमूर्त संपत्ति के मूल्य को एक टोकन में परिवर्तित करने की प्रक्रिया है जिसे नेटवर्क पर विनिमय किया जा सकता है। | ||
उदाहरण के लिए, ब्लॉकचेन तकनीक का उपयोग करके संपत्ति द्वारा समर्थित डिजिटल टोकन में अधिकारों को परिवर्तित करके, यह पारंपरिक वित्तीय परिसंपत्ति के टोकन को सक्षम बनाता है।<ref name=":2">{{Cite journal |last1=Morrow |last2=Zarrebini |date=2019-10-22 |title=Blockchain and the Tokenization of the Individual: Societal Implications |journal=Future Internet |language=en |volume=11 |issue=10 |pages=220 |doi=10.3390/fi11100220 |issn=1999-5903|doi-access=free }}</ref> इसके | उदाहरण के लिए, ब्लॉकचेन तकनीक का उपयोग करके संपत्ति द्वारा समर्थित डिजिटल टोकन में अधिकारों को परिवर्तित करके, यह पारंपरिक वित्तीय परिसंपत्ति के टोकन को सक्षम बनाता है।<ref name=":2">{{Cite journal |last1=Morrow |last2=Zarrebini |date=2019-10-22 |title=Blockchain and the Tokenization of the Individual: Societal Implications |journal=Future Internet |language=en |volume=11 |issue=10 |pages=220 |doi=10.3390/fi11100220 |issn=1999-5903|doi-access=free }}</ref> इसके अतिरिक्त, टोकेनाइजेशन कई उपयोगकर्ताओं में आँकड़ा के सरल और कुशल कोष्ठीकरण और प्रबंधन को सक्षम बनाता है। टोकनाइजेशन के माध्यम से बनाए गए व्यक्तिगत टोकन का उपयोग स्वामित्व को विभाजित करने और संपत्ति को आंशिक रूप से पुनर्विक्रय करने के लिए किया जा सकता है।<ref>{{Cite journal |last1=Tian |first1=Yifeng |last2=Lu |first2=Zheng |last3=Adriaens |first3=Peter |last4=Minchin |first4=R. Edward |last5=Caithness |first5=Alastair |last6=Woo |first6=Junghoon |date=2020 |title=ब्लॉकचैन-आधारित टोकननाइजेशन के माध्यम से वित्त बुनियादी ढांचा|url=https://link.springer.com/10.1007/s42524-020-0140-2 |journal=Frontiers of Engineering Management |language=en |volume=7 |issue=4 |pages=485–499 |doi=10.1007/s42524-020-0140-2 |s2cid=226335872 |issn=2095-7513}}</ref><ref>{{Cite journal |last1=Ross |first1=Omri |last2=Jensen |first2=Johannes Rude |last3=Asheim |first3=Truls |date=2019-11-16 |title=टोकनाइजेशन के तहत संपत्ति|url=https://papers.ssrn.com/abstract=3488344 |journal= |language=en |location=Rochester, NY |doi=10.2139/ssrn.3488344|ssrn=3488344 |s2cid=219366539 }}</ref> परिणाम स्वरुप, केवल उपयुक्त टोकन वाली संस्थाएं ही आँकड़े तक पहुंच सकती हैं।<ref name=":2" /> | ||
कई ब्लॉकचेन कंपनियां परिसंपत्ति टोकन का समर्थन करती हैं। 2019 में, [[eToro]] ने Firmo का अधिग्रहण किया और इसका नाम बदलकर eToroX कर दिया। अपने टोकन मैनेजमेंट सूट के माध्यम से, जो यूएसडी-पेग्ड स्टैब्लॉक्स द्वारा समर्थित है, eToroX एसेट टोकनाइजेशन को सक्षम करता है।<ref>{{Cite web |last=Tabatabai |first=Arman |date=2019-03-25 |title=सोशल इन्वेस्टमेंट प्लेटफॉर्म ईटोरो ने स्मार्ट कॉन्ट्रैक्ट स्टार्टअप फर्मो का अधिग्रहण किया|url=https://techcrunch.com/2019/03/25/social-investment-platform-etoro-acquires-smart-contract-startup-firmo/ |access-date=2022-11-23 |website=TechCrunch |language=en-US}}</ref><ref>{{Cite web |title=eToroX ने ओमरी रॉस को प्रमुख ब्लॉकचेन वैज्ञानिक नामित किया|url=https://www.financemagnates.com/executives/moves/etorox-names-firmo-ceo-omri-ross-chief-blockchain-scientist/ |access-date=2022-11-23 |website=Financial and Business News {{!}} Finance Magnates |language=en}}</ref> | कई ब्लॉकचेन कंपनियां परिसंपत्ति टोकन का समर्थन करती हैं। 2019 में, [[eToro]] ने Firmo का अधिग्रहण किया और इसका नाम बदलकर eToroX कर दिया। अपने टोकन मैनेजमेंट सूट के माध्यम से, जो यूएसडी-पेग्ड स्टैब्लॉक्स द्वारा समर्थित है, eToroX एसेट टोकनाइजेशन को सक्षम करता है।<ref>{{Cite web |last=Tabatabai |first=Arman |date=2019-03-25 |title=सोशल इन्वेस्टमेंट प्लेटफॉर्म ईटोरो ने स्मार्ट कॉन्ट्रैक्ट स्टार्टअप फर्मो का अधिग्रहण किया|url=https://techcrunch.com/2019/03/25/social-investment-platform-etoro-acquires-smart-contract-startup-firmo/ |access-date=2022-11-23 |website=TechCrunch |language=en-US}}</ref><ref>{{Cite web |title=eToroX ने ओमरी रॉस को प्रमुख ब्लॉकचेन वैज्ञानिक नामित किया|url=https://www.financemagnates.com/executives/moves/etorox-names-firmo-ceo-omri-ross-chief-blockchain-scientist/ |access-date=2022-11-23 |website=Financial and Business News {{!}} Finance Magnates |language=en}}</ref> | ||
STOKR द्वारा इक्विटी के टोकन की सुविधा प्रदान की जाती है, एक ऐसा मंच जो निवेशकों को छोटे और मध्यम आकार के व्यवसायों से जोड़ता है। STOKR प्लेटफॉर्म के माध्यम से जारी किए गए टोकन कानूनी तौर पर यूरोपीय संघ पूंजी बाजार नियमों के | STOKR द्वारा इक्विटी के टोकन की सुविधा प्रदान की जाती है, एक ऐसा मंच जो निवेशकों को छोटे और मध्यम आकार के व्यवसायों से जोड़ता है। STOKR प्लेटफॉर्म के माध्यम से जारी किए गए टोकन कानूनी तौर पर यूरोपीय संघ पूंजी बाजार नियमों के अनुसार हस्तांतरणीय प्रतिभूतियों के रूप में मान्यता प्राप्त हैं।<ref name=":3">{{Cite journal |last=Sazandrishvili |first=George |date=2020 |title=सादे अंग्रेजी में एसेट टोकनाइजेशन|url=https://onlinelibrary.wiley.com/doi/10.1002/jcaf.22432 |journal=Journal of Corporate Accounting & Finance |language=en |volume=31 |issue=2 |pages=68–73 |doi=10.1002/jcaf.22432 |s2cid=213916347 |issn=1044-8136}}</ref> | ||
ब्रेकर बौद्धिक संपदा के टोकन को सक्षम करते हैं, जिससे सामग्री निर्माता अपने स्वयं के डिजिटल टोकन जारी कर सकते हैं। विभिन्न परियोजना प्रतिभागियों को टोकन वितरित किए जा सकते हैं। बिचौलियों या शासी निकाय के बिना, सामग्री निर्माता पुरस्कार-साझाकरण सुविधाओं को टोकन में एकीकृत कर सकते हैं।<ref name=":3" /> | ब्रेकर बौद्धिक संपदा के टोकन को सक्षम करते हैं, जिससे सामग्री निर्माता अपने स्वयं के डिजिटल टोकन जारी कर सकते हैं। विभिन्न परियोजना प्रतिभागियों को टोकन वितरित किए जा सकते हैं। बिचौलियों या शासी निकाय के बिना, सामग्री निर्माता पुरस्कार-साझाकरण सुविधाओं को टोकन में एकीकृत कर सकते हैं।<ref name=":3" /> | ||
== वैकल्पिक भुगतान प्रणाली के लिए आवेदन == | == वैकल्पिक भुगतान प्रणाली के लिए आवेदन == | ||
एक वैकल्पिक भुगतान प्रणाली के निर्माण के लिए अंतिम उपयोगकर्ताओं को निकट संचार (एनएफसी) या अन्य प्रौद्योगिकी आधारित भुगतान सेवाओं को वितरित करने के लिए एक साथ काम करने वाली कई संस्थाओं की आवश्यकता होती है। मुद्दों में से एक खिलाड़ियों के बीच अंतर है और इस मुद्दे को हल करने के लिए विश्वसनीय सेवा प्रबंधक (TSM) की भूमिका को [[मोबाइल नेटवर्क ऑपरेटर]](MNO) और सेवा प्रदाताओं के बीच एक तकनीकी लिंक स्थापित करने का प्रस्ताव है, | एक वैकल्पिक भुगतान प्रणाली के निर्माण के लिए अंतिम उपयोगकर्ताओं को निकट संचार (एनएफसी) या अन्य प्रौद्योगिकी आधारित भुगतान सेवाओं को वितरित करने के लिए एक साथ काम करने वाली कई संस्थाओं की आवश्यकता होती है। मुद्दों में से एक खिलाड़ियों के बीच अंतर है और इस मुद्दे को हल करने के लिए विश्वसनीय सेवा प्रबंधक (TSM) की भूमिका को [[मोबाइल नेटवर्क ऑपरेटर]](MNO) और सेवा प्रदाताओं के बीच एक तकनीकी लिंक स्थापित करने का प्रस्ताव है, जिससे कि ये संस्थाएँ एक साथ काम कर सकें। ऐसी सेवाओं की मध्यस्थता में टोकनकरण एक भूमिका निभा सकता है। | ||
एक सुरक्षा रणनीति के रूप में टोकनाइजेशन एक वास्तविक कार्ड नंबर को प्रतिनिधिक (लक्ष्य हटाने) और प्रतिनिधिक कार्ड नंबर (जोखिम में कमी) पर बाद की सीमाओं के साथ बदलने की क्षमता में निहित है। यदि प्रतिनिधिक मूल्य का उपयोग असीमित तरीके से या व्यापक रूप से लागू तरीके से भी किया जा सकता है, तो टोकन मूल्य वास्तविक क्रेडिट कार्ड नंबर जितना मूल्य प्राप्त करता है। इन | एक सुरक्षा रणनीति के रूप में टोकनाइजेशन एक वास्तविक कार्ड नंबर को प्रतिनिधिक (लक्ष्य हटाने) और प्रतिनिधिक कार्ड नंबर (जोखिम में कमी) पर बाद की सीमाओं के साथ बदलने की क्षमता में निहित है। यदि प्रतिनिधिक मूल्य का उपयोग असीमित तरीके से या व्यापक रूप से लागू तरीके से भी किया जा सकता है, तो टोकन मूल्य वास्तविक क्रेडिट कार्ड नंबर जितना मूल्य प्राप्त करता है। इन स्थितियों में, टोकन को दूसरे गतिशील टोकन द्वारा सुरक्षित किया जा सकता है जो प्रत्येक लेनदेन के लिए अद्वितीय है और एक विशिष्ट भुगतान कार्ड से भी जुड़ा हुआ है। गतिशील, लेन-देन-विशिष्ट टोकन के उदाहरण में EMV विनिर्देशन में उपयोग किए जाने वाले कूट लेख सम्मलित हैं। | ||
== पीसीआई डीएसएस मानकों के लिए आवेदन == | == पीसीआई डीएसएस मानकों के लिए आवेदन == | ||
भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक, दिशानिर्देशों का एक उद्योग-व्यापी सेट जो किसी भी संगठन द्वारा पूरा किया जाना चाहिए जो कार्डधारक आँकड़े को संग्रहीत, संसाधित या प्रसारित करता है, यह अनिवार्य करता है कि संग्रहीत होने पर क्रेडिट कार्ड आँकड़े को सुरक्षित किया जाना चाहिए।<ref>[https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml The Payment Card Industry Data Security Standard]</ref> टोकनाइजेशन, जैसा कि भुगतान कार्ड आँकड़े पर लागू होता है, | भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक, दिशानिर्देशों का एक उद्योग-व्यापी सेट जो किसी भी संगठन द्वारा पूरा किया जाना चाहिए जो कार्डधारक आँकड़े को संग्रहीत, संसाधित या प्रसारित करता है, यह अनिवार्य करता है कि संग्रहीत होने पर क्रेडिट कार्ड आँकड़े को सुरक्षित किया जाना चाहिए।<ref>[https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml The Payment Card Industry Data Security Standard]</ref> टोकनाइजेशन, जैसा कि भुगतान कार्ड आँकड़े पर लागू होता है, अधिकांशत: इस शासनादेश को पूरा करने के लिए लागू किया जाता है, कुछ प्रणालियों में क्रेडिट कार्ड और ACH नंबरों को एक यादृच्छिक मान या वर्णों की स्ट्रिंग के साथ बदल दिया जाता है।<ref>{{Cite web|title = Tokenization: PCI Compliant Tokenization Payment Processing|url = https://www.bluefin.com/products/tokenization/|website = Bluefin Payment Systems|access-date = 2016-01-14|language = en-US}}</ref> टोकन को विभिन्न तरीकों से स्वरूपित किया जा सकता है। कुछ टोकन सेवा प्रदाता या टोकननाइजेशन उत्पादप्रतिनिधिक मान इस तरह से उत्पन्न करते हैं जैसे कि मूल संवेदनशील आँकड़ा के प्रारूप से मेल खाते हों। भुगतान कार्ड आँकड़ा के मामले में, एक टोकन प्राथमिक खाता संख्या ([[बैंक कार्ड नंबर]]) के समान लंबाई का हो सकता है और इसमें मूल आँकड़ा के तत्व सम्मलित होते हैं जैसे कार्ड नंबर के अंतिम चार अंक। जब लेन-देन की वैधता को सत्यापित करने के लिए भुगतान कार्ड प्राधिकरण अनुरोध किया जाता है, तो लेन-देन के प्राधिकरण कोड के साथ, कार्ड नंबर के अतिरिक्त व्यापारी को एक टोकन वापस किया जा सकता है। टोकन को प्राप्त प्रणाली में संग्रहीत किया जाता है जबकि वास्तविक कार्डधारक आँकड़ा को सुरक्षित टोकननाइजेशन प्रणाली में टोकन में मैप किया जाता है। [https://www.pcisecuritystandards.org/security_standards/glossary.php#S मजबूत गूढ़लेखन] के उपयोग सहित टोकन और भुगतान कार्ड आँकड़ा का भंडारण वर्तमान पीसीआई मानकों का पालन करना चाहिए।<ref>{{Cite web |url=http://www.hospitalityupgrade.com/_files/File_Articles/HUSum08_CounterPointOder_SecuredDataisNotStoredData.pdf |title=Data Security: Counterpoint – "The Best Way to Secure Data is Not to Store Data" |access-date=2009-06-17 |archive-url=https://web.archive.org/web/20090731031150/http://www.hospitalityupgrade.com/_files/File_Articles/HUSum08_CounterPointOder_SecuredDataisNotStoredData.pdf |archive-date=2009-07-31 |url-status=dead }}</ref> | ||
Line 113: | Line 113: | ||
आँकड़ाबेस स्थिरता सुनिश्चित करने के लिए, टोकन आँकड़ाबेस को लगातार तुल्यकालित करने की आवश्यकता होती है। | आँकड़ाबेस स्थिरता सुनिश्चित करने के लिए, टोकन आँकड़ाबेस को लगातार तुल्यकालित करने की आवश्यकता होती है। | ||
इसके | इसके अतिरिक्त, संवेदनशील आँकड़ा और कोष्ठ के बीच सुरक्षित संचार चैनल बनाए जाने चाहिए जिससे कि भंडारण के रास्ते में आँकड़े से समझौता न किया जा सके।<ref name=":0" /> | ||
Revision as of 14:16, 22 May 2023
टोकनाइजेशन, जब आँकड़ा सुरक्षा पर लागू होता है, एक संवेदनशील आँकड़ा तत्व को एक गैर-संवेदनशील समतुल्य के साथ प्रतिस्थापित करने की प्रक्रिया है, जिसे सुरक्षा टोकन के रूप में संदर्भित किया जाता है, जिसका कोई आंतरिक या शोषक अर्थ या मूल्य नहीं है। टोकन एक संदर्भ (अर्थात पहचानकर्ता) है जो एक टोकननाइजेशन प्रणाली के माध्यम से संवेदनशील आँकड़े पर वापस मैप करता है। मूल आँकड़े से एक टोकन तक मैपिंग उन विधियों का उपयोग करती है जो टोकननाइजेशन प्रणाली की अनुपस्थिति में टोकन को उलटने के लिए असंभव बनाती हैं, उदाहरण के लिए यादृच्छिक संख्या पीढ़ी से बनाए गए टोकन का उपयोग करना।[3] मूल आँकड़े को टोकन में बदलने के लिए एक तरफ़ा गूढ़लेखिकी फलन का उपयोग किया जाता है, जिससे टोकननाइज़ेशन प्रणाली के संसाधनों में प्रवेश प्राप्त किए बिना मूल आँकड़े को फिर से बनाना मुश्किल हो जाता है।[4] ऐसी सेवाएं प्रदान करने के लिए, प्रणाली टोकन का एक कोष्ठ आँकड़ा बेस रखता है जो संबंधित संवेदनशील आँकड़े से जुड़ा होता है। प्रणाली कोष्ठ की सुरक्षा प्रणाली के लिए महत्वपूर्ण है, और आँकड़ा बेस अखंडता और भौतिक सुरक्षा प्रदान करने के लिए बेहतर प्रक्रियाओं को रखा जाना चाहिए।[5] सुरक्षा सर्वोत्तम प्रथाओं का उपयोग करके टोकन प्रणाली को सुरक्षित और मान्य किया जाना चाहिए[6] संवेदनशील आँकड़ा सुरक्षा, सुरक्षित भंडारण, अंकेक्षण, प्रमाणीकरण और प्राधिकरण के लिए लागू है। टोकनाइजेशन प्रणाली आँकड़ा प्रक्रमण उपयोग को प्राधिकरण के साथ प्रदान करता है और टोकन का अनुरोध करने के लिए अंतरापृष्ठ करता है, या संवेदनशील आँकड़ा को वापस डिटोकेनाइज करता है।
टोकनाइजेशन के सुरक्षा और जोखिम में कमी के लाभों के लिए आवश्यक है कि टोकनाइजेशन प्रणाली तार्किक रूप से अलग-थलग हो और आँकड़ा प्रक्रमण प्रणाली और अनुप्रयोगों से खंडित हो जो पहले टोकन द्वारा प्रतिस्थापित संवेदनशील आँकड़ा को संसाधित या संग्रहीत करते थे। टोकन बनाने के लिए केवल टोकननाइजेशन प्रणाली आँकड़े को टोकन कर सकता है, या सख्त सुरक्षा नियंत्रणों के अनुसार संवेदनशील आँकड़े को भुनाने के लिए वापस डीटोकनाइज कर सकता है। टोकन उत्पादन विधि में यह गुण होना चाहिए कि प्रत्यक्ष आक्षेप करने, क्रिप्ट विश्लेषण, पार्श्व चैनल विश्लेषण, टोकन मैपिंग टेबल अपावरण या पशुपन तकनीकों के माध्यम से टोकन को सजीव आँकड़ा में वापस लाने के लिए कोई व्यवहार्य साधन नहीं है।
प्रणाली में टोकन के साथ सजीव आँकड़े को बदलने का उद्देश्य संवेदनशील आँकड़े के उन अनुप्रयोगों, भंडार, लोगों और प्रक्रियाओं के जोखिम को कम करना है, समझौता या आकस्मिक जोखिम और संवेदनशील आँकड़े तक अनधिकृत पहुंच के जोखिम को कम करना है। अनुप्रयोगों को सजीव आँकड़े के अतिरिक्त टोकन का उपयोग करके संचालित किया जा सकता है, एक छोटी संख्या में विश्वसनीय अनुप्रयोगों के अपवाद के साथ स्पष्ट रूप से अनुमोदित व्यावसायिक उद्देश्य के लिए सख्ती से आवश्यक होने पर स्पष्ट रूप से अनुमति दी जाती है। टोकननाइजेशन प्रणाली आँकड़ा सेंटर के एक सुरक्षित पृथक खंड के भीतर या एक सुरक्षित सेवा प्रदाता से सेवा के रूप में संचालित किया जा सकता है।
टोकनाइजेशन का उपयोग संवेदनशील आँकड़े की सुरक्षा के लिए किया जा सकता है, उदाहरण के लिए, बैंक खाते, वित्तीय विवरण, चिकित्सा अभिलेख , आपराधिक अभिलेख, चालक लाइसेंस, ऋण आवेदन, शेयर व्यापार (वित्तीय साधन), मतदाता पंजीकरण, और अन्य प्रकार की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) ). टोकनाइजेशन का उपयोग अधिकांशत: क्रेडिट कार्ड प्रक्रमण में किया जाता है। भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक टोकननाइजेशन को एक प्रक्रिया के रूप में परिभाषित करता है जिसके द्वारा प्राथमिक खाता संख्या (पैन) को एक प्रतिनिधिक मूल्य के साथ बदल दिया जाता है जिसे टोकन कहा जाता है। टोकनाइजेशन प्रक्रिया के माध्यम से एक पैन को एक संदर्भ संख्या से जोड़ा जा सकता है। इस मामले में, व्यापारी को केवल टोकन को बनाए रखना होता है और एक विश्वसनीय तृतीय पक्ष सम्बन्ध को नियंत्रित करता है और पैन रखता है। टोकन को पैन से स्वतंत्र रूप से बनाया जा सकता है, या पैन को टोकननाइजेशन तकनीक में आँकड़ा निविष्ट के हिस्से के रूप में उपयोग किया जा सकता है। पैन और टोकन हासिल करने के लिए आक्रामक को विच्छेदक करने से रोकने के लिए व्यापारी और तीसरे पक्ष के आपूर्तिकर्ता के बीच संचार सुरक्षित होना चाहिए।[7] डी-टोकनाइजेशन[8] इसके संबंधित पैन मूल्य के लिए एक टोकन को भुनाने की विपरीत प्रक्रिया है। एक व्यक्तिगत टोकन की सुरक्षा मुख्य रूप से केवल प्रतिनिधिक मूल्य जानने वाले मूल पैन को निर्धारित करने की अक्षमता पर निर्भर करती है।[9] कूटलेखन जैसी अन्य तकनीकों के विकल्प के रूप में टोकननाइजेशन का विकल्प अलग-अलग नियामक आवश्यकताओं, व्याख्या और संबंधित अंकेक्षणिंग या मूल्यांकन संस्थाओं द्वारा स्वीकृति पर निर्भर करेगा। यह किसी भी तकनीकी, वास्तु या परिचालन बाधा के अतिरिक्त है जो व्यावहारिक उपयोग में टोकननाइजेशन लगाता है।
अवधारणाएं और उत्पत्ति
टोकेनाइजेशन की अवधारणा, जैसा कि आज उद्योग द्वारा अपनाया गया है, अस्तित्व में है क्योंकि सदियों पहले पहली मुद्रा प्रणाली उभरी थी, जो उच्च मूल्य वाले वित्तीय साधनों को प्रतिनिधिक समकक्षों के साथ बदलकर जोखिम को कम करने के साधन के रूप में उभरी थी।[10][11][12] भौतिक दुनिया में, टोकन सिक्के का मिंट (सिक्का) और बैंकनोट के वित्तीय साधन को बदलने के उपयोग का एक लंबा इतिहास है। हाल के इतिहास में, सबवे टोकन और कैसीनो चिप्स ने भौतिक मुद्रा और चोरी जैसे नकद प्रबंधन जोखिमों को बदलने के लिए अपने संबंधित प्रणाली के लिए गोद लिया। एक्सोन्यूमा और प्रतिभूति पत्र ऐसे सांकेतिक टोकन पर्यायवाची शब्द हैं।
डिजिटल दुनिया में, वास्तविक आँकड़ा तत्वों को अन्य आँकड़ा प्रणाली के संपर्क से अलग करने के साधन के रूप में 1970 के दशक से समान प्रतिस्थापन तकनीकों का उपयोग किया गया है। उदाहरण के लिए आँकड़ाबेस में, आँकड़ा प्रक्रमण में विभिन्न उपयोगों के लिए आँकड़ाबेस के आंतरिक तंत्र और उनके बाहरी समकक्षों से जुड़े आँकड़ा को अलग करने के लिए 1976 से प्रतिनिधिक कुंजी मानों का उपयोग किया गया है।[13][14] हाल ही में, आँकड़ा सुरक्षा के उद्देश्यों के लिए सुरक्षा तंत्र प्रदान करने के लिए इस अलगाव रणनीति पर विचार करने के लिए इन अवधारणाओं को विस्तारित किया गया है।
भुगतान कार्ड उद्योग में, उद्योग मानकों और सरकारी नियमों का पालन करने के लिए संवेदनशील कार्डधारक आँकड़ा की रक्षा करने का एक साधन है।[15] 2001 में, ट्रस्टकामर्स ने क्लाइंट क्लासमेट्स डॉट कॉम के लिए संवेदनशील भुगतान आँकड़ा की सुरक्षा के लिए टोकनाइजेशन की अवधारणा बनाई।[16] इसने ट्रस्टकामर्स के संस्थापक रोब कॉलफ़ील्ड को सम्मलित किया, क्योंकि यदि सिस्टम कभी हैक किया गया था तो कार्ड धारक डेटा को संग्रहीत करने का जोखिम बहुत अधिक था। ट्रस्टकामर्स ने टीसी साइटाडेल® विकसित किया है, जिसके साथ कार्ड धारक ग्राहक आँकड़ा के स्थान पर एक टोकन का संदर्भ दे सकते हैं और ट्रस्टकामर्स व्यापारी की ओर से भुगतान की प्रक्रिया करेगा।[17] इस बिलिंग उपयोग ने ग्राहकों को कार्डधारक भुगतान जानकारी संग्रहीत करने की आवश्यकता के बिना आवर्ती भुगतानों को संसाधित करने की अनुमति दी। टोकनाइजेशन प्राथमिक खाता संख्या (पैन) को बेतरतीब ढंग से उत्पन्न टोकन के साथ बदल देता है। यदिअंतःखंडित किया जाता है, तो आँकड़ा में कार्डधारक की कोई जानकारी नहीं होती है, जो हैकर्स के लिए बेकार है। पैन को पुनः प्राप्त नहीं किया जा सकता है, भले ही टोकन और जिस प्रणाली पर यह रहता है, समझौता किया गया हो, न ही टोकन को पैन पर पहुंचने के लिए विपरीत इंजीनियर किया जा सकता है।
शिफ्ट4 भुगतान द्वारा भुगतान कार्ड आँकड़े पर टोकनाइजेशन लागू किया गया था[18] और 2005 में लास वेगास घाटी , नेवादा में एक उद्योग सुरक्षा शिखर सम्मेलन के दौरान जनता के लिए जारी किया गया।[19] प्रौद्योगिकी भंडारण में क्रेडिट कार्ड की जानकारी की चोरी को रोकने के लिए है। शिफ्ट4 टोकनाइजेशन को इस प्रकार परिभाषित करता है: "संदर्भ, संवेदनशील या गुप्त आँकड़ा द्वारा प्रतिनिधित्व करने के लिए आँकड़े के एक गैर-डिक्रिप्टेबल टुकड़े का उपयोग करने की अवधारणा। भुगतान कार्ड उद्योग (पीसीआई) के संदर्भ में, टोकन का उपयोग कार्डधारक आँकड़ा को संदर्भित करने के लिए किया जाता है जिसे टोकननाइजेशन प्रणाली, उपयोग या ऑफ-साइट सुरक्षित सुविधा में प्रबंधित किया जाता है।[20] अपने पूर्ण जीवनचक्र पर आँकड़े की सुरक्षा के लिए, टोकननाइजेशन को अधिकांशत: टोकेनाइजेशन प्रणाली या सेवा में ट्रांज़िट में आँकड़ा को सुरक्षित करने के लिए आद्यांत संचरण के साथ जोड़ा जाता है, बदले में मूल आँकड़े को टोकन के साथ बदल दिया जाता है। उदाहरण के लिए, लो-ट्रस्ट प्रणाली जैसे बिक्री केन्द्र (POS) प्रणाली से आँकड़ा चोरी करने वाले मैलवेयर के जोखिम से बचने के लिए, 40-मिलियन-कार्ड-नंबर-लक्षित लक्ष्य 2013 का उल्लंघन, कार्डधारक आँकड़ा कूटलेखन कार्ड आँकड़ा को पीओएस में प्रवेश करने से पहले होना चाहिए बाद में नहीं। कूटलेखन एक कठोर सुरक्षा और मान्य कार्ड पाट्यांक उपकरण की सीमा के भीतर होता है और प्रक्रमण होस्ट द्वारा प्राप्त किए जाने तक आँकड़ा गूढलेखित रहता है, हार्टलैंड भुगतान प्रणाली द्वारा अग्रणी एक दृष्टिकोण[21] भुगतान आँकड़ा को उन्नत खतरों से सुरक्षित करने के साधन के रूप में, अब उद्योग भुगतान प्रसंस्करण कंपनियों और प्रौद्योगिकी कंपनियों द्वारा व्यापक रूप से अपनाया गया है।[22] PCI काउंसिल ने विभिन्न सेवा कार्यान्वयनों के लिए आद्यांत कूटलेखन (प्रमाणित स्थलशः कूटलेखन-P2PE) भी निर्दिष्ट किया है PCI काउंसिल पॉइंट-टू -पॉइंट कूटलेखन दस्तावेज़ है।
टोकनकरण प्रक्रिया
टोकनकरण की प्रक्रिया में निम्नलिखित चरण होते हैं:
- उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है।
- उपयोग टोकननाइजेशन आँकड़ा और प्रमाणीकरण जानकारी टोकननाइजेशन प्रणाली को भेजता है। प्रमाणीकरण विफल होने पर इसे रोक दिया जाता है और आँकड़ा को घटना प्रबंधन प्रणाली में प्रदत्त किया जाता है। परिणाम स्वरुप, प्रशासक समस्याओं की खोज कर सकते हैं और प्रणाली को प्रभावी ढंग से प्रबंधित कर सकते हैं। प्रमाणीकरण सफल होने पर प्रणाली अगले चरण पर जाता है।
- एक तरफ़ा गूढ़ालेखी तकनीकों का उपयोग करके, एक टोकन उत्पन्न किया जाता है और अत्यधिक सुरक्षित आँकड़ा कोष्ठ में रखा जाता है।
- आगे उपयोग के लिए एप्लिकेशन को नया टोकन प्रदान किया जाता है।[23]
टोकननाइजेशन प्रणाली स्थापित मानकों के अनुसार कई घटकों को साझा करते हैं।
- टोकन उत्पादन किसी भी माध्यम का उपयोग करके एक टोकन बनाने की प्रक्रिया है, जैसे कि मजबूत कूटलेखन कलनविधि और प्रमुख प्रबंधन तंत्र के आधार पर गणितीय रूप से प्रतिवर्ती गूढ़ालेखी फलन, एक तरफ़ा अपरिवर्तनीय गूढ़ालेखी फलन (जैसे, मजबूत, गुप्त नमक के साथ एक हैश फलन), या बेतरतीब ढंग से उत्पन्न संख्या के माध्यम से समनुदेशन है। बेतरतीब ढंग से सृजित संख्या (आरएनजी) तकनीक अधिकांशत: टोकन वैल्यू उत्पन्न करने के लिए सबसे अच्छा विकल्प होती है।
- टोकन मैपिंग - यह बनाई गई टोकन वैल्यू को उसके मूल मूल्य पर नियुक्त करने की प्रक्रिया है। सूचकांक के रूप में टोकन का उपयोग करके मूल मूल्य के अनुमत अवलोकन को सक्षम करने के लिए, एक सुरक्षित प्रतिसंदर्भ आँकड़ाबेस का निर्माण किया जाना चाहिए।
- टोकन आँकड़ा भंडार - यह टोकन मैपिंग प्रक्रिया के लिए एक केंद्रीय भंडार है जो मूल मूल्यों के साथ-साथ टोकन उत्पादन प्रक्रिया के बाद संबंधित टोकन मूल्यों को रखता है। आँकड़ा परिसेवक पर, संवेदनशील आँकड़ा और टोकन वैल्यू को गूढलेखित प्रारूप में सुरक्षित रूप से रखा जाना चाहिए।
- गूढलेखित आँकड़ा भंडारण - यह पारगमन के दौरान संवेदनशील आँकड़ा का कूटलेखन है।
- गूढ़ालेखी कुंजियों का प्रबंधन। टोकन आँकड़ा भंडारण पर संवेदनशील आँकड़ा कूटलेखन के लिए मजबूत कुंजी प्रबंधन प्रक्रियाओं की आवश्यकता होती है।[24]
कूटलेखन से अंतर
टोकनाइजेशन और "उत्कृष्ट" कूटलेखन प्रभावी रूप से लागू होने पर आँकड़े की प्रभावी ढंग से रक्षा करते हैं, और एक अभिकलित्र सुरक्षा प्रणाली दोनों का उपयोग कर सकती है। जबकि कुछ स्थितियों में समान, टोकननाइजेशन और उत्कृष्ट कूटलेखन कुछ प्रमुख पहलुओं में भिन्न हैं। दोनों गूढ़लेखन आँकड़ा सुरक्षा विधियां हैं और उनके पास अनिवार्य रूप से एक ही कार्य है, चूंकि वे अलग-अलग प्रक्रियाओं के साथ ऐसा करते हैं और जिस आँकड़ा की वे रक्षा कर रहे हैं उस पर अलग-अलग प्रभाव पड़ते हैं।
टोकनाइजेशन एक गैर-गणितीय दृष्टिकोण है जो संवेदनशील आँकड़ा को गैर-संवेदनशील विकल्पों के साथ आँकड़ा के प्रकार या लंबाई में बदलाव किए बिना बदल देता है। यह कूटलेखन से एक महत्वपूर्ण अंतर है क्योंकि आँकड़ा की लंबाई और प्रकार में परिवर्तन आँकड़ाबेस जैसे मध्यवर्ती प्रणाली में जानकारी को अपठनीय बना सकता है। टोकन आँकड़ा को अभी भी लीगेसी प्रणाली द्वारा संसाधित किया जा सकता है जो उत्कृष्ट कूटलेखन की तुलना में टोकननाइज़ेशन को अधिक लचीला बनाता है।
कई स्थितियों में, कूटलेखन प्रक्रिया प्रसंस्करण शक्ति का एक निरंतर उपभोक्ता है, इसलिए ऐसी प्रणाली को विशेष हार्डवेयर और सॉफ्टवेयर में महत्वपूर्ण व्यय की आवश्यकता होती है।[4]
एक और अंतर यह है कि टोकन को प्रसंस्करण करने के लिए काफी कम अभिकलनात्मक संसाधनों की आवश्यकता होती है। टोकनाइजेशन के साथ, विशिष्ट आँकड़ा को प्रसंस्करण और विश्लेषण के लिए पूरी तरह या आंशिक रूप से दृश्यमान रखा जाता है, जबकि संवेदनशील जानकारी को छिपा कर रखा जाता है। यह टोकनयुक्त आँकड़ा को अधिक तेज़ी से संसाधित करने की अनुमति देता है और प्रणाली संसाधनों पर दबाव कम करता है। यह उच्च प्रदर्शन पर भरोसा करने वाले प्रणाली में एक महत्वपूर्ण लाभ हो सकता है।
कूटलेखन की तुलना में, सामूहिक कार्य और संचार को सक्षम करते हुए टोकननाइज़ेशन तकनीकें समय, व्यय और प्रशासनिक प्रयास को कम करती हैं।[4]
टोकन के प्रकार
ऐसे कई तरीके हैं जिनसे टोकन को वर्गीकृत किया जा सकता है चूंकि वर्तमान में कोई एकीकृत वर्गीकरण नहीं है। टोकन : एकल या बहु-उपयोगी, गूढ़लेखन या गैर-गूढ़ालेखी, प्रतिवर्ती या अपरिवर्तनीय, प्रामाणिक या गैर-प्रामाणिक, और इसके विभिन्न संयोजन हो सकते हैं।
भुगतान के संदर्भ में, उच्च और निम्न मूल्य के टोकन के बीच का अंतर एक महत्वपूर्ण भूमिका निभाता है।
उच्च मूल्य टोकन (एचवीटी)
एचवीटी भुगतान लेनदेन में वास्तविक भुगतान कार्ड नंबर के लिए प्रतिनिधि के रूप में काम करते हैं और भुगतान लेनदेन को पूरा करने के लिए एक साधन के रूप में उपयोग किए जाते हैं। कार्य करने के लिए, उन्हें वास्तविक पैन की तरह दिखना चाहिए। एकाधिक एचवीटी अधिष्ठाता को इसकी जानकारी के बिना एकल पैन और एकल भौतिक क्रेडिट कार्ड पर वापस मैप कर सकते हैं।
इसके अतिरिक्त, एचवीटी कुछ नेटवर्क या व्यापारियों तक सीमित हो सकते हैं जबकि पैन नहीं कर सकते है।
एचवीटी को विशिष्ट उपकरणों से भी जोड़ा जा सकता है जिससे कि टोकन उपयोग, भौतिक उपकरणों और भौगोलिक स्थानों के बीच विसंगतियों को संभावित धोखाधड़ी के रूप में चिह्नित किया जा सके।
कम मूल्य के टोकन (एलवीटी) या सुरक्षा टोकन
एलवीटी भुगतान लेनदेन में वास्तविक पैन के लिए प्रतिनिधि के रूप में भी कार्य करते हैं, चूंकि वे एक अलग उद्देश्य पूरा करते हैं। भुगतान लेनदेन को पूरा करने के लिए एलवीटी का उपयोग स्वयं नहीं किया जा सकता है। एलवीटी के कार्य करने के लिए, इसे वास्तविक पैन से वापस मिलान करना संभव होना चाहिए, भले ही यह केवल कड़े नियंत्रित फलन में हो। यदि एक टोकन प्रणाली का उल्लंघन किया जाता है, तो पैन की सुरक्षा के लिए टोकन का उपयोग करना अप्रभावी हो जाता है, इसलिए टोकन प्रणाली को सुरक्षित करना अत्यंत महत्वपूर्ण है।
प्रणाली संचालन, सीमाएं और विकास
पहली पीढ़ी के टोकेनाइजेशन प्रणाली सजीव आँकड़ा से प्रतिनिधिक स्थानापन्न टोकन और वापस मैप करने के लिए एक आँकड़ाबेस का उपयोग करते हैं। आँकड़ा हानि से बचने के लिए टोकन आँकड़ाबेस में जोड़े गए प्रत्येक नए लेनदेन के लिए भंडारण, प्रबंधन और निरंतर बैकअप की आवश्यकता होती है। एक अन्य समस्या आँकड़ा केंद्रों में निरंतरता सुनिश्चित करना है, जिसके लिए टोकन आँकड़ाबेस के निरंतर तुल्यकालन की आवश्यकता होती है। सीएपी प्रमेय के अनुसार महत्वपूर्ण स्थिरता, उपलब्धता और प्रदर्शन व्यापार-नापसंद, इस दृष्टिकोण से अपरिहार्य हैं। यह शिरोपरि आँकड़ा हानि से बचने और आँकड़ा केंद्रों में आँकड़ा अखंडता को सुनिश्चित करने के लिए समयोचित लेनदेन प्रसंस्करण में जटिलता जोड़ता है, और पैमाने को भी सीमित करता है। सभी संवेदनशील आँकड़ा को एक सेवा में संग्रहीत करना आक्षेप करना और समझौता करने के लिए एक आकर्षक लक्ष्य बनाता है, और आँकड़ा इंटरनेट गोपनीयता, विशेष रूप से आँकड़ा सुरक्षा निर्देश के एकत्रीकरण में गोपनीयता और कानूनी जोखिम पेश करता है।
टोकननाइजेशन प्रौद्योगिकियों की एक और सीमा स्वतंत्र सत्यापन के माध्यम से दिए गए समाधान के लिए सुरक्षा के स्तर को माप रही है। मानकों की कमी के साथ, जब नियामक अनुपालन के लिए टोकन का उपयोग किया जाता है तो टोकन की पेशकश की ताकत स्थापित करने के लिए उत्तरार्द्ध महत्वपूर्ण है। भुगतान कार्ड उद्योग सुरक्षा मानक परिषद सुरक्षा और अनुपालन के किसी भी दावे की स्वतंत्र जांच और सत्यापन की सिफारिश करती है: टोकन के उपयोग पर विचार करने वाले व्यापारियों को उनके विशेष कार्यान्वयन की अनूठी विशेषताओं की पहचान करने और दस्तावेज करने के लिए गहन मूल्यांकन और जोखिम विश्लेषण करना चाहिए, जिसमें सभी अन्तःक्रिया सम्मलित हैं। भुगतान कार्ड आँकड़ा और विशेष टोकन प्रणाली और प्रक्रियाएं[25] सुरक्षा के दृष्टिकोण से टोकन बनाने की विधि की भी सीमाएँ हो सकती हैं। यादृच्छिक संख्या जनरेटर आक्षेप करने के लिए सुरक्षा और हमलों के बारे में चिंताओं के साथ, जो टोकन और टोकन मैपिंग टेबल की पीढ़ी के लिए एक सामान्य पसंद है, यह सुनिश्चित करने के लिए जांच की जानी चाहिए कि सिद्ध और मान्य तरीकों का उपयोग यादृच्छिक अभिकल्पना के विरुद्ध किया जाता है।[26][27] गूढ़लेखिकी रूप से सुरक्षित छद्म यादृच्छिक संख्या जनित्र की गति, एन्ट्रापी, सीडिंग और पूर्वाग्रह के मामले में सीमाएं हैं, और भविष्यवाणी और समझौता से बचने के लिए सुरक्षा गुणों का सावधानीपूर्वक विश्लेषण और मापन किया जाना चाहिए।
टोकनाइजेशन के बढ़ते अपनाने के साथ, इस तरह के परिचालन जोखिमों और जटिलताओं को दूर करने के लिए और विशेष रूप से वित्तीय सेवाओं और बैंकिंग में उच्च प्रदर्शन लेनदेन प्रसंस्करण के उभरते हुए बड़े आँकड़ा उपयोग के स्थितियों और उच्च प्रदर्शन लेनदेन प्रसंस्करण के अनुकूल बढ़े हुए पैमाने को सक्षम करने के लिए नए टोकन प्रौद्योगिकी दृष्टिकोण उभरे हैं।[28] पारंपरिक टोकेनाइजेशन विधियों के अतिरिक्त, प्रोटेग्रिटी अपनी तथाकथित अस्पष्टता परत के माध्यम से अतिरिक्त सुरक्षा प्रदान करती है। यह एक बाधा उत्पन्न करता है जो न केवल नियमित उपयोगकर्ताओं को उन सूचनाओं तक पहुँचने से रोकता है जिन्हें वे नहीं देख पाएंगे बल्कि उन विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी रोकता है जिनके पास पहुँच है, जैसे आँकड़ाबेस प्रशासक।[29] स्टेटलेस टोकेनाइजेशन सजीव आँकड़ा एलिमेंट्स की रैंडम मैपिंग को आँकड़ाबेस की आवश्यकता के बिना मूल्यों कोप्रतिनिधिक करने में सक्षम बनाता है जबकि टोकनाइजेशन के आइसोलेशन गुणों को बनाए रखता है।
नवंबर 2014, अमेरिकन एक्सप्रेस ने अपनी टोकन सेवा जारी की जो ईएमवी टोकनीकरण मानक को पूरा करती है।[30] EMVCo मानक के अनुसार, टोकन-आधारित भुगतान प्रणाली के अन्य उल्लेखनीय उदाहरणों में गूगल वॉलेट, एप्पल पे, सम्मलित हैं।[31] सैमसंग पे, माइक्रोसॉफ्ट वॉलेट, फिटबिट पे और गार्मिन पे। वीज़ा इंक एक सुरक्षित ऑनलाइन और मोबाइल खरीदारी प्रदान करने के लिए टोकननाइजेशन तकनीकों का उपयोग करता है।[32] ब्लॉकचैन का उपयोग करते हुए, विश्वसनीय तृतीय पक्षों पर भरोसा करने के विपरीत, लेन-देन के लिए अत्यधिक सुलभ, छेड़छाड़-प्रतिरोधी आँकड़ाबेस चलाना संभव है।[33][34] ब्लॉकचैन की मदद से, टोकेनाइजेशन एक मूर्त या अमूर्त संपत्ति के मूल्य को एक टोकन में परिवर्तित करने की प्रक्रिया है जिसे नेटवर्क पर विनिमय किया जा सकता है।
उदाहरण के लिए, ब्लॉकचेन तकनीक का उपयोग करके संपत्ति द्वारा समर्थित डिजिटल टोकन में अधिकारों को परिवर्तित करके, यह पारंपरिक वित्तीय परिसंपत्ति के टोकन को सक्षम बनाता है।[35] इसके अतिरिक्त, टोकेनाइजेशन कई उपयोगकर्ताओं में आँकड़ा के सरल और कुशल कोष्ठीकरण और प्रबंधन को सक्षम बनाता है। टोकनाइजेशन के माध्यम से बनाए गए व्यक्तिगत टोकन का उपयोग स्वामित्व को विभाजित करने और संपत्ति को आंशिक रूप से पुनर्विक्रय करने के लिए किया जा सकता है।[36][37] परिणाम स्वरुप, केवल उपयुक्त टोकन वाली संस्थाएं ही आँकड़े तक पहुंच सकती हैं।[35]
कई ब्लॉकचेन कंपनियां परिसंपत्ति टोकन का समर्थन करती हैं। 2019 में, eToro ने Firmo का अधिग्रहण किया और इसका नाम बदलकर eToroX कर दिया। अपने टोकन मैनेजमेंट सूट के माध्यम से, जो यूएसडी-पेग्ड स्टैब्लॉक्स द्वारा समर्थित है, eToroX एसेट टोकनाइजेशन को सक्षम करता है।[38][39] STOKR द्वारा इक्विटी के टोकन की सुविधा प्रदान की जाती है, एक ऐसा मंच जो निवेशकों को छोटे और मध्यम आकार के व्यवसायों से जोड़ता है। STOKR प्लेटफॉर्म के माध्यम से जारी किए गए टोकन कानूनी तौर पर यूरोपीय संघ पूंजी बाजार नियमों के अनुसार हस्तांतरणीय प्रतिभूतियों के रूप में मान्यता प्राप्त हैं।[40] ब्रेकर बौद्धिक संपदा के टोकन को सक्षम करते हैं, जिससे सामग्री निर्माता अपने स्वयं के डिजिटल टोकन जारी कर सकते हैं। विभिन्न परियोजना प्रतिभागियों को टोकन वितरित किए जा सकते हैं। बिचौलियों या शासी निकाय के बिना, सामग्री निर्माता पुरस्कार-साझाकरण सुविधाओं को टोकन में एकीकृत कर सकते हैं।[40]
वैकल्पिक भुगतान प्रणाली के लिए आवेदन
एक वैकल्पिक भुगतान प्रणाली के निर्माण के लिए अंतिम उपयोगकर्ताओं को निकट संचार (एनएफसी) या अन्य प्रौद्योगिकी आधारित भुगतान सेवाओं को वितरित करने के लिए एक साथ काम करने वाली कई संस्थाओं की आवश्यकता होती है। मुद्दों में से एक खिलाड़ियों के बीच अंतर है और इस मुद्दे को हल करने के लिए विश्वसनीय सेवा प्रबंधक (TSM) की भूमिका को मोबाइल नेटवर्क ऑपरेटर(MNO) और सेवा प्रदाताओं के बीच एक तकनीकी लिंक स्थापित करने का प्रस्ताव है, जिससे कि ये संस्थाएँ एक साथ काम कर सकें। ऐसी सेवाओं की मध्यस्थता में टोकनकरण एक भूमिका निभा सकता है।
एक सुरक्षा रणनीति के रूप में टोकनाइजेशन एक वास्तविक कार्ड नंबर को प्रतिनिधिक (लक्ष्य हटाने) और प्रतिनिधिक कार्ड नंबर (जोखिम में कमी) पर बाद की सीमाओं के साथ बदलने की क्षमता में निहित है। यदि प्रतिनिधिक मूल्य का उपयोग असीमित तरीके से या व्यापक रूप से लागू तरीके से भी किया जा सकता है, तो टोकन मूल्य वास्तविक क्रेडिट कार्ड नंबर जितना मूल्य प्राप्त करता है। इन स्थितियों में, टोकन को दूसरे गतिशील टोकन द्वारा सुरक्षित किया जा सकता है जो प्रत्येक लेनदेन के लिए अद्वितीय है और एक विशिष्ट भुगतान कार्ड से भी जुड़ा हुआ है। गतिशील, लेन-देन-विशिष्ट टोकन के उदाहरण में EMV विनिर्देशन में उपयोग किए जाने वाले कूट लेख सम्मलित हैं।
पीसीआई डीएसएस मानकों के लिए आवेदन
भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक, दिशानिर्देशों का एक उद्योग-व्यापी सेट जो किसी भी संगठन द्वारा पूरा किया जाना चाहिए जो कार्डधारक आँकड़े को संग्रहीत, संसाधित या प्रसारित करता है, यह अनिवार्य करता है कि संग्रहीत होने पर क्रेडिट कार्ड आँकड़े को सुरक्षित किया जाना चाहिए।[41] टोकनाइजेशन, जैसा कि भुगतान कार्ड आँकड़े पर लागू होता है, अधिकांशत: इस शासनादेश को पूरा करने के लिए लागू किया जाता है, कुछ प्रणालियों में क्रेडिट कार्ड और ACH नंबरों को एक यादृच्छिक मान या वर्णों की स्ट्रिंग के साथ बदल दिया जाता है।[42] टोकन को विभिन्न तरीकों से स्वरूपित किया जा सकता है। कुछ टोकन सेवा प्रदाता या टोकननाइजेशन उत्पादप्रतिनिधिक मान इस तरह से उत्पन्न करते हैं जैसे कि मूल संवेदनशील आँकड़ा के प्रारूप से मेल खाते हों। भुगतान कार्ड आँकड़ा के मामले में, एक टोकन प्राथमिक खाता संख्या (बैंक कार्ड नंबर) के समान लंबाई का हो सकता है और इसमें मूल आँकड़ा के तत्व सम्मलित होते हैं जैसे कार्ड नंबर के अंतिम चार अंक। जब लेन-देन की वैधता को सत्यापित करने के लिए भुगतान कार्ड प्राधिकरण अनुरोध किया जाता है, तो लेन-देन के प्राधिकरण कोड के साथ, कार्ड नंबर के अतिरिक्त व्यापारी को एक टोकन वापस किया जा सकता है। टोकन को प्राप्त प्रणाली में संग्रहीत किया जाता है जबकि वास्तविक कार्डधारक आँकड़ा को सुरक्षित टोकननाइजेशन प्रणाली में टोकन में मैप किया जाता है। मजबूत गूढ़लेखन के उपयोग सहित टोकन और भुगतान कार्ड आँकड़ा का भंडारण वर्तमान पीसीआई मानकों का पालन करना चाहिए।[43]
मानक (एएनएसआई, पीसीआई काउंसिल, वीज़ा, और ईएमवी)
टोकनाइजेशन वर्तमान में ANSI X9 में X9.119 भाग 2 के रूप में मानक परिभाषा है। X9 भुगतान कार्ड पिन प्रबंधन, क्रेडिट और डेबिट कार्ड कूटलेखन और संबंधित तकनीकों और प्रक्रियाओं सहित वित्तीय गूढ़लेखन और आँकड़ा सुरक्षा के लिए उद्योग मानकों के लिए जिम्मेदार है। पीसीआई काउंसिल ने आँकड़ा उल्लंघनों में जोखिम को कम करने के लिए टोकननाइजेशन के लिए समर्थन भी कहा है, जब अन्य तकनीकों जैसे स्थलशः कूटलेखन (पी2पीई) और पीसीआई डीएसएस दिशानिर्देशों के अनुपालन के आकलन के साथ जोड़ा जाता है।[44] वीज़ा इंक ने वीज़ा टोकनाइज़ेशन बेस्ट प्रैक्टिस जारी की[45] टोकनाइजेशन के लिए क्रेडिट और डेबिट कार्ड से निपटने वाले अनुप्रयोगों और सेवाओं में उपयोग किया जाता है। मार्च 2014 में, EMVCo LLC ने EMV के लिए अपना पहला भुगतान टोकनीकरण विनिर्देश जारी किया।[46] पीसीआई डीएसएस भुगतान उद्योग के खिलाड़ियों द्वारा उपयोग किए जाने वाले टोकन प्रणाली के लिए सबसे अधिक उपयोग किया जाने वाला मानक है।[24]
जोखिम में कमी
टोकनाइजेशन आक्रामकों के लिए टोकनाइजेशन प्रणाली या सेवा के बाहर संवेदनशील आँकड़ा तक पहुंच प्राप्त करना अधिक कठिन बना सकता है। टोकनाइजेशन का कार्यान्वयन भुगतान कार्ड उद्योग आँकड़ा सुरक्षा मानक की आवश्यकताओं को सरल बना सकता है, क्योंकि प्रणाली जो अब संवेदनशील आँकड़ा को संग्रहीत या संसाधित नहीं करते हैं, उनमें पीसीआई डीएसएस दिशानिर्देशों द्वारा आवश्यक लागू नियंत्रणों में कमी हो सकती है।
एक सुरक्षा सर्वोत्तम अभ्यास के रूप में,[47] गोपनीयता अनुपालन, विनियामक अनुपालन, और आँकड़ा सुरक्षा के किसी भी दावे से पहले आँकड़ा सुरक्षा के लिए उपयोग की जाने वाली किसी भी तकनीक का स्वतंत्र मूल्यांकन और सत्यापन, विधि और कार्यान्वयन की सुरक्षा और ताकत स्थापित करने के लिए होना चाहिए। टोकनाइजेशन में यह सत्यापन विशेष रूप से महत्वपूर्ण है, क्योंकि टोकन सामान्य उपयोग में बाहरी रूप से साझा किए जाते हैं और इस प्रकार उच्च जोखिम, कम भरोसेमंद वातावरण में उजागर होते हैं। सेवा या समाधान प्रदाता से स्वतंत्र उपयुक्त विशेषज्ञों द्वारा उद्योग द्वारा स्वीकृत मापों और प्रमाणों का उपयोग करके एक जीवित संवेदनशील आँकड़ा के लिए एक टोकन या टोकन के सेट को उलटने की अक्षमता स्थापित की जानी चाहिए।
टोकन के उपयोग पर प्रतिबंध
सभी संगठनात्मक आँकड़े को टोकन नहीं किया जा सकता है, और इसकी जांच और फ़िल्टर करने की आवश्यकता है।
जब आँकड़ाबेस का बड़े पैमाने पर उपयोग किया जाता है, तो वे तेजी से विस्तारित होते हैं, जिससे खोज प्रक्रिया में अधिक समय लगता है, प्रणाली प्रदर्शन प्रतिबंधित होता है, और बैकअप प्रक्रिया बढ़ती है। एक आँकड़ाबेस जो संवेदनशील जानकारी को टोकन से जोड़ता है, उसे कोष्ठ कहा जाता है। नए आँकड़ा के साथ, कोष्ठ के रखरखाव का कार्यभार काफी बढ़ जाता है।
आँकड़ाबेस स्थिरता सुनिश्चित करने के लिए, टोकन आँकड़ाबेस को लगातार तुल्यकालित करने की आवश्यकता होती है।
इसके अतिरिक्त, संवेदनशील आँकड़ा और कोष्ठ के बीच सुरक्षित संचार चैनल बनाए जाने चाहिए जिससे कि भंडारण के रास्ते में आँकड़े से समझौता न किया जा सके।[4]
यह भी देखें
संदर्भ
- ↑ "टोकनाइजेशन डीमिस्टिफाइड". IDEMIA. 2017-09-19. Archived from the original on 2018-01-26. Retrieved 2018-01-26.
- ↑ "भुगतान टोकनकरण समझाया". Square (in English). Archived from the original on 2018-01-02. Retrieved 2018-01-26.
- ↑ CardVault: "Tokenization 101"
- ↑ 4.0 4.1 4.2 4.3 Ogigau-Neamtiu, F. (2016). "डेटा सुरक्षा तकनीक के रूप में टोकनकरण". Regional Department of Defense Resources Management Studies. Zeszyty Naukowe AON. Brasov, Romania: Akademia Sztuki Wojennej. 2 (103): 124–135. ISSN 0867-2245.
- ↑ Ogîgău-Neamţiu, F. (2017). "डेटा सुरक्षा प्रक्रिया को स्वचालित करना". Journal of Defense Resources Management (JoDRM). 8 (2).
- ↑ "OWASP टॉप टेन प्रोजेक्ट". Archived from the original on 2019-12-01. Retrieved 2014-04-01.
- ↑ Stapleton, J.; Poore, R. S. (2011). "कार्डधारक डेटा के लिए टोकनकरण और सुरक्षा के अन्य तरीके". Information Security Journal: A Global Perspective. 20 (2): 91–99. doi:10.1080/19393555.2011.560923. S2CID 46272415.
- ↑ Y., Habash, Nizar (2010). अरबी प्राकृतिक भाषा प्रसंस्करण का परिचय. Morgan & Claypool. ISBN 978-1-59829-796-6. OCLC 1154286658.
{{cite book}}
: CS1 maint: multiple names: authors list (link) - ↑ PCI DSS Tokenization Guidelines
- ↑ Rolfe, Alex (May 2015). "टोकनकरण का पतन और उदय". Retrieved 27 September 2022.
- ↑ Xu, Xiwei; Pautasso, Cesare; Zhu, Liming; Lu, Qinghua; Weber, Ingo (2018-07-04). "ब्लॉकचैन-आधारित अनुप्रयोगों के लिए एक पैटर्न संग्रह". Proceedings of the 23rd European Conference on Pattern Languages of Programs. EuroPLoP '18. New York, NY, USA: Association for Computing Machinery: 1–20. doi:10.1145/3282308.3282312. ISBN 978-1-4503-6387-7. S2CID 57760415.
- ↑ Millmore, B.; Foskolou, V.; Mondello, C.; Kroll, J.; Upadhyay, S.; Wilding, D. "Tokens: Culture, Connections, Communities: Final Programme" (PDF). The University of Warwick.
- ↑ Link, S.; Luković, I.; Mogin, P. (2010). "प्राकृतिक और सरोगेट कुंजी डेटाबेस आर्किटेक्चर का प्रदर्शन मूल्यांकन". School of Engineering and Computer Science, Victoria University of Wellington.
- ↑ Hall, P.; Owlett, J.; Todd, S. (1976). "संबंध और संस्थाएं। डेटाबेस प्रबंधन प्रणालियों में मॉडलिंग". GM Nijssen.
{{cite web}}
: Missing or empty|url=
(help) - ↑ "टोकनाइजेशन मर्चेंट पीसीआई अनुपालन को आसान बनाता है". Archived from the original on 2012-11-03. Retrieved 2013-03-28.
- ↑ "Where Did Tokenization Come From?". TrustCommerce (in English). Retrieved 2017-02-23.
- ↑ "ट्रस्टकामर्स". 2001-04-05. Archived from the original on 2001-04-05. Retrieved 2017-02-23.
- ↑ "Shift4 Corporation Releases Tokenization in Depth White Paper". Reuters. Archived from the original on 2014-03-13. Retrieved 2017-07-02.
- ↑ "Shift4 Launches Security Tool That Lets Merchants Re-Use Credit Card Data". Internet Retailer. Archived from the original on 2005-10-13.
{{cite magazine}}
:|archive-date=
/|archive-url=
timestamp mismatch (help) - ↑ "Shift4 Corporation Releases Tokenization in Depth White Paper". Archived from the original on 2011-07-16. Retrieved 2010-09-17.
- ↑ "डेटा ब्रीच से सीखे गए सबक" (PDF). Archived from the original (PDF) on 2013-05-02. Retrieved 2014-04-01.
- ↑ Voltage, Ingencio Partner on Data Encryption Platform
- ↑ Ogigau-Neamtiu, F. (2016). "डेटा सुरक्षा तकनीक के रूप में टोकनकरण". Zeszyty Naukowe AON (in English). nr 2(103). ISSN 0867-2245.
- ↑ 24.0 24.1 Ozdenizci, Busra; Ok, Kerem; Coskun, Vedat (2016-11-30). "एचसीई-सक्षम एनएफसी सेवाओं के लिए एक टोकननाइजेशन-आधारित संचार वास्तुकला". Mobile Information Systems (in English). 2016: e5046284. doi:10.1155/2016/5046284. ISSN 1574-017X.
- ↑ PCI Council Tokenization Guidelines
- ↑ How do you know if an RNG is working?
- ↑ Gimenez, Gregoire; Cherkaoui, Abdelkarim; Frisch, Raphael; Fesquet, Laurent (2017-07-01). "Self-timed Ring based True Random Number Generator: Threat model and countermeasures". 2017 IEEE 2nd International Verification and Security Workshop (IVSW). Thessaloniki, Greece: IEEE: 31–38. doi:10.1109/IVSW.2017.8031541. ISBN 978-1-5386-1708-3. S2CID 10190423.
- ↑ Vijayan, Jaikumar (2014-02-12). "Banks push for tokenization standard to secure credit card payments". Computerworld (in English). Retrieved 2022-11-23.
- ↑ Mark, S. J. (2018). "De-identification of personal information for use in software testing to ensure compliance with the Protection of Personal Information Act".
- ↑ "अमेरिकन एक्सप्रेस ने नई ऑनलाइन और मोबाइल भुगतान सुरक्षा सेवाओं की शुरुआत की". AmericanExpress.com. 3 November 2014. Archived from the original on 2014-11-04. Retrieved 2014-11-04.
- ↑ "Apple Pay Programming Guide: About Apple Pay". developer.apple.com. Retrieved 2022-11-23.
- ↑ "वीजा टोकन सेवा". usa.visa.com (in English). Retrieved 2022-11-23.
- ↑ Beck, Roman; Avital, Michel; Rossi, Matti; Thatcher, Jason Bennett (2017-12-01). "व्यापार और सूचना प्रणाली अनुसंधान में ब्लॉकचेन प्रौद्योगिकी". Business & Information Systems Engineering (in English). 59 (6): 381–384. doi:10.1007/s12599-017-0505-1. ISSN 1867-0202. S2CID 3493388.
- ↑ Çebi, F.; Bolat, H.B.; Atan, T.; Erzurumlu, Ö. Y. (2021). "International Engineering and Technology Management Summit 2021–ETMS2021 Proceeding Book". İstanbul Technical University & Bahçeşehir University. ISBN 978-975-561-522-6.
- ↑ 35.0 35.1 Morrow; Zarrebini (2019-10-22). "Blockchain and the Tokenization of the Individual: Societal Implications". Future Internet (in English). 11 (10): 220. doi:10.3390/fi11100220. ISSN 1999-5903.
- ↑ Tian, Yifeng; Lu, Zheng; Adriaens, Peter; Minchin, R. Edward; Caithness, Alastair; Woo, Junghoon (2020). "ब्लॉकचैन-आधारित टोकननाइजेशन के माध्यम से वित्त बुनियादी ढांचा". Frontiers of Engineering Management (in English). 7 (4): 485–499. doi:10.1007/s42524-020-0140-2. ISSN 2095-7513. S2CID 226335872.
- ↑ Ross, Omri; Jensen, Johannes Rude; Asheim, Truls (2019-11-16). "टोकनाइजेशन के तहत संपत्ति" (in English). Rochester, NY. doi:10.2139/ssrn.3488344. S2CID 219366539. SSRN 3488344.
{{cite journal}}
: Cite journal requires|journal=
(help) - ↑ Tabatabai, Arman (2019-03-25). "सोशल इन्वेस्टमेंट प्लेटफॉर्म ईटोरो ने स्मार्ट कॉन्ट्रैक्ट स्टार्टअप फर्मो का अधिग्रहण किया". TechCrunch (in English). Retrieved 2022-11-23.
- ↑ "eToroX ने ओमरी रॉस को प्रमुख ब्लॉकचेन वैज्ञानिक नामित किया". Financial and Business News | Finance Magnates (in English). Retrieved 2022-11-23.
- ↑ 40.0 40.1 Sazandrishvili, George (2020). "सादे अंग्रेजी में एसेट टोकनाइजेशन". Journal of Corporate Accounting & Finance (in English). 31 (2): 68–73. doi:10.1002/jcaf.22432. ISSN 1044-8136. S2CID 213916347.
- ↑ The Payment Card Industry Data Security Standard
- ↑ "Tokenization: PCI Compliant Tokenization Payment Processing". Bluefin Payment Systems (in English). Retrieved 2016-01-14.
- ↑ "Data Security: Counterpoint – "The Best Way to Secure Data is Not to Store Data"" (PDF). Archived from the original (PDF) on 2009-07-31. Retrieved 2009-06-17.
- ↑ "Protecting Consumer Information: Can Data Breaches Be Prevented?" (PDF). Archived from the original (PDF) on 2014-04-07. Retrieved 2014-04-01.
- ↑ Visa Tokenization Best Practices
- ↑ "EMV Payment Tokenisation Specification – Technical Framework". March 2014.
- ↑ "क्रिप्टोग्राफी के लिए OWASP गाइड". Archived from the original on 2014-04-07. Retrieved 2014-04-01.
बाहरी संबंध
- Cloud vs Payment - Cloud vs Payment - Introduction to tokenization via cloud payments.