A preocupação com segurança e dados sensíveis cresce a cada dia. Em todos os segmentos o cuidado com os dados precisa ser parte do negócio. Para as empresas que atuam no mercado financeiro e que emitem cartões de crédito e débito, precisam seguir as normas PCI DSS, padrão de segurança de informações do setor para organizações.
O processo de tokenização não só contribui com o cumprimento dessas exigências, como também traz benefícios para quem atua com e-commerce, que envolve os marketplaces.
Neste artigo você conhecerá mais sobre tokenização, porque sua empresa de meios de pagamento precisa dela, ainda, como pode implementar este processo.
O que é tokenização?
Tokenização é um processo de substituição dos dados reais por outros equivalentes, com mesmo formato e protegidos por uma chave de criptografia. A Tokenização já está contida em grande parte das transações de pagamentos que realizamos todos os dias. Com as regulações como a Lei Geral de Proteção de Dados – LGPD e Payment Card Industry – PCI, este processo vai se popularizar ainda mais. Com ele incrementa-se a segurança do negócio, mantendo o formato, estrutura e integridade de campos do banco de dados ou repositório.
Por exemplo, uma empresa precisa resguardar o nome de um titular, o número de sua conta bancária ou de um cartão de crédito que esteja salvo em seu banco de dados. O melhor caminho é preservar o formato destes dados sensíveis, tornando-os ininteligíveis através da tokenização.
Os tokens são gerados de forma exclusiva e aleatória, sem nenhuma relação com os dados originais. Com isso, para ter acesso ao dado sensível, é necessário ter permissão de acesso à chave de segurança estabelecida para o processo.
Com a tokenização, os dados sensíveis ficam armazenados e criptografados em um ambiente seguro. Os dados tokenizados podem ser manipulados no lugar dos dados originais para processamento e armazenagem. Se houver violação dos dados, tudo o que será visto, serão dados que não fazem o menor sentido.
Na prática, para as empresas de meios de pagamento, nada muda. Os dados originais são tratados normalmente dentro dos sistemas, mas ficando acessíveis e disponíveis apenas a usuários autorizados, de acordo com as políticas de permissões de cada área do negócio. A simplicidade e confiabilidade fazem com que a tokenização seja a melhor opção para segurança de transações de pagamento.
Empresas de pagamentos precisam adotar a tokenização para segurança de transações?
Todas as empresas que estão inseridas no ecossistema de pagamentos, tais como bancos, fintechs, emissoras de cartões, adquirentes, subadquirentes, processadoras, bandeiras, certamente já ouviram falar da certificação do Payment Card Industry – PCI.
O PCI é uma norma que estabelece um padrão de segurança de dados para a indústria de cartões de pagamentos e empresas que lidam com dados de cartões. Nesse processo, há a tokenização, que é um meio seguro para garantir a segurança das transações.
Outra determinação do PCI é a de se usar criptografia na transmissão de dados dos titulares, especialmente quando realizada através de redes públicas. Mais uma vez a tokenização é a solução mais adequada.
Outra proteção utilizada em sistemas para meios de pagamento, é o mascaramento da informação do cartão. As empresas que trabalham com cartão de crédito ou débito devem proteger, mascarando os dados do cartão para evitar o vazamento de informações.
Um atendente de Call Center por exemplo, quando solicita a confirmação dos quatro últimos dígitos do seu cartão, ele na verdade não tem acesso a todo o número. Neste caso, a empresa está seguindo uma norma de segurança, protegendo-se contra o vazamento de informações. Resumindo, tokenização é uma das tecnologias mais seguras que existem por usar a substituição de dados, tornando-os seguros.
Como utilizar tokenização para a segurança de transações de pagamentos?
O PCI indica a aplicação de uso de dispositivos físicos dedicados para isolar o tratamento de chaves criptográficas, os chamados HSMs – Hardware Secure Module, que é uma promessa de se tornar cada vez mais popular com a massificação dos meios de pagamentos digitais.
Esses dispositivos são capazes de criptografar as transações de pagamentos, maximizando a blindagem dos recursos e informações de infraestrutura de pagamentos e da assinatura digital. Funciona como um robô de encriptação e desencriptação no ciclo de vida do processo, isso garante uma autenticação forte. O dispositivo faz a verificação da assinatura, tokenização, geração instantânea e morte da chave de vida curta, autorização, compliance, documentação e encerramento da sessão de pagamento.
Como posso aplicar o uso de HSM para tokenização de pagamentos em minha empresa?
Bom, acho que ficou claro até aqui o quão importante é o uso de HSMs para a segurança de transações de pagamentos, e o quanto as empresas inseridas nesse ecossistema, precisam colocar sua atenção para as novidades e mudanças que acontecem nessa indústria.
Existe ainda uma série de fatores que envolvem o ambiente com HSMs, como a infraestrutura física necessária para mantenimento e monitoramento dos dispositivos, certificação PCI, pessoal especialista e outros fatores que podemos abordar em outro conteúdo por aqui.
Existem empresas que oferecem a solução de HSM como serviço, o que democratiza e facilita a entrada de novas empresas de meios de pagamentos no mercado. Desta forma não há a necessidade de se preocupar com os pontos abordados acima, o que faz com que o negócio seja o foco 100% do tempo.
Esperamos que possamos ter esclarecido um pouco mais sobre a tokenização no mercado de meios de pagamentos e qual a sua importância.
Se desejar bater um papo como nosso time, é claro, fique à vontade e ficaremos muito felizes em poder conversar com você.
Até a próxima!