Tokenizasyon, hassas verilerin rastgele ve benzersiz bir değer ile ifade edilmesidir. Kredi kartı bilgileri, vatandaşlık numarası gibi bilgilerin tokeni oluşturularak herhangi bir işlemde bu verilerin açık olarak kullanılmasını engelleyerek yerine token kullanılmasıyla hassas verilerin güvenliği sağlamış olur. Cnp işlemlerde kart fiziki olarak kullanılmadığı için bilgilerin ihlali veya dolandırıcılığa sebebiyet verebilir. Tokenizasyon, kart bilgilerini çevrimiçi olarak gerçekleştirilen ticaretlerde ifşa edilmez. Kredi kartını temsil eden token bulunduğu için işletme sisteminde kart bilgileri depolanmaz. Sistemler arasında token güvenli bir şekilde dolaşır. Token kritik bilgiler içermez, hassas veriler önemsiz, rastgele bilgiler ile değiştirilmiştir bu sebeple token bilgileri ele geçirilse bile token üzerinden kart bilgilerine ulaşılmaz. Bir kredi kartından birçok token oluşturulup birçok sistemde güvenli bir şekilde kullanılır. Token, silinebilir askıya alınabilir olması nedeniyle kullanımı esnektir. Her işlemde tekrar tekrar bilgilerin girilmesine gerek kalmaz tek tıkla işlemler gerçekleştirilir. Kart bilgileri güvenli bir şekilde vault adı verilen sistemlerde saklanır.
Şekil 1. Bir kart için birden fazla token oluşturulabilir.
PCI DSS uyumlu sistemler güvenli sistemlerdir ve PCI DSS standartlarına uymayan firmalara kredi kartı ile satış yapma hakkı verilmez. Tokenizasyon, PCS DSS standartlarıyla uyumlu olmakla birlikte maliyetleri azaltır ve hem müşteri hem de satıcı zaman açısından avantajlı olur. İşletmelerin depoladığı veri miktarı ve maliyetleri azaltır, e-ticaret işlemlerinin güvenliği artırılır.
Şekil 2. Tokenizasyon
Tokenizasyon Aşamaları
Kredi kartı bilgileri müşteri tarafın çevrimiçi veya pos cihazı kullanılarak alındığında elde edilen bilgiler tokenizasyon sistemine yollanır. Ardından tokenizasyon sistemi kredi kartı bilgileri yerine kullanılacak rastgele üretilmiş bir token oluşturur. Kart bilgileri ile token eşleşmesi vault adı verilen sisteme kaydedilir. Token işletmeye yollanarak satış gerçekleştirilir.
Biçim Formatı
Biçim korumalı ve biçim korumasız olarak iki türlü biçim formatı vardır.
Biçim Korumalı Token: Görünüm olarak kredi kartına benzer bir formattadır.
Kredi Kartı Biçimi: 1111 1111 1111 1111
Biçim Korumalı Token: 1111 5448 5665 1111
Biçim Korumasız Token: Görünüm açısından kredi kartından farklıdır. Kart numarası uzunluğu ve kullanılan karakterler açısından benzerlik bulunmamaktadır.
Kredi Kartı Biçimi: 1111 1111 1111 1111
Biçim Korumalı Token: 5s5d484s-9521d2s59-2a159a158a8
Tokenizasyon Türleri
Tek kullanımlı Token: Tek işlem için kullanılan tokendir. Çok kullanımlı tokene göre daha hızlı işlem görür. Her işlem için yeni bir token oluşturulur. Bu sebeple token vualt alanı sürekli genişler ve daha fazla alana ihtiyaç duyulur. Sürekli yeni token oluşturulup kaydedilmesi token çakışmalarına sebebiyet verebilir.
Çok kullanımlı Token: Aynı kart bilgisi birçok işlem için kullanılır. Kart ile işlem yapılan her durumda aynı token oluşturulur. Avantaj olarak veri analizlerine imkân sağlar ve vault alanının tasarruflu kullanımını sağlar.
Tokenizasyon ve Şifreleme
Tokenizasyon ve şifreleme birbirinden farklı iki terimdir. Şifreleme verinin saklanması, görünürlüğünün gizlenmesidir. Tokenizasyon ise verinin yerine veriyle bağlantısı bulunmayan, rastgele bir ifadeyle temsil edilmesidir. Şifrelenmiş veri geri döndürülebilir fakat tokenizasyon işlemiyle oluşturulan token verisinden herhangi bir matematiksel işlemle kart bilgisi elde edilemez.