令牌化是使用替代值(令牌)替换敏感数据(主账号、社会安全号码等)的流程。令牌化流程可以显著降低数据泄露和数据模糊的风险,因为敏感数据会以加密格式存储在中央令牌库中。
每个签发的令牌代表一个唯一的敏感数据字符串。如果将令牌分配给一个原始主账号 (PAN),无论这个主账号何时用于交易,商家都可以多次使用相同的令牌。
2018年11月30日,万豪国际宣布了历史上最大的数据泄露事件之一。鉴于数据泄露持续了四年多,因此数据量巨大。它不仅是任何数据:付款信息、姓名、邮寄地址、电话号码、电子邮件地址和护照号码。
万豪首席执行官阿恩·索伦森,(可全证言证词最近在这里)公开了新的细节有关数据泄露去年宣布。我们一直在密切关注此事,以从这一历史性漏洞中学习,并了解是否可以避免以及如何避免。让我们看一下现在有了更多细节的情况。
这是阿恩·索伦森在告诉参议院国土安全和政府事务委员会常设调查小组委员会的内容。黑客起源于喜达屋的预订系统。万豪酒店于2016年9月收购了该酒店集团,但直到2018年9月8日才被入侵,直到管理喜达屋客人预订数据库的IT公司与万豪联系。
9月10日,万豪酒店邀请第三方调查人员调查是否被违反。之后不久,在喜达屋IT系统上发现了恶意软件:远程访问木马(RAT),它使黑客能够秘密地访问、监视和控制计算机。
根据Sorenson的最新声明,违反了3.83亿个访客记录和1850万个加密的护照号码。详细信息包括910万个加密的支付卡号和385,000个有效卡号,以及525万个未加密的护照号。
从表面上看,违反万豪酒店的细节已经足够糟糕了,但可以避免。
在作证时(至少6:30),首席执行官阿恩·索伦森讨论了万豪向前发展的战略。作为最高优先级,万豪酒店现在将依靠加密和令牌化工具来保护他们当前保存在空间中的所有数据。
需要指出万豪酒店有关违规和阿恩·索伦森接受聆讯时的两个关键方面。
黑客起源于喜达屋的预订系统,该系统是一种交易系统。不幸的是,许多公司在其分析系统中而不是在交易系统中取消识别敏感数据。
万豪首席执行官阿恩·索伦森强调了他的首要任务,即使用令牌化和加密来交换整个企业中的所有敏感数据。
为什么要使用令牌化?令牌化的目的是交换敏感数据(通常是支付卡或个人身份信息(PII)),并使用相同格式的随机数,但没有其固有的价值。数据将替换为无法解密的令牌。
为什么加密不够?可以使用适当的密钥(无论是通过蛮横的计算力还是通过被黑/被盗的密钥)对加密的数字进行解密。
当今有多种身份识别方法可用,以及何时最佳应用这些技术的最佳实践。其中一些方法包括:
差异隐私
假名
基于风险的匿名化
标记化
万豪酒店宣布将使用其中一种技术。
我们看到的一些最大的漏洞是Google、Uber、Sak的Fifth Ave、Facebook。甚至政府机构也无法幸免。总之,没有一个行业或组织能够幸免于暴露敏感信息的数据泄露。许多财富200强公司本质上都是全球性的,敏感的客户数据始终在整个企业中移动。像万豪一样,许多组织也在寻找更好的方法来最大化敏感数据的安全性和可用性。
跨国企业应使用具有整体方法的供应商和工具来设计一种能够实现以下所有目的的数据优先安全性方法:
囊括企业内所有交易和分析系统
提供灵活性和可伸缩性–允许数据跨数据孤岛进出
无论您是否在内部,都可以轻松集成混合云和多云架构
通过集中的自动化管理员在整个企业范围内提供全面的可见性
建议并实施数据去识别技术,以提高性能并确保未来更好的数据安全性
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!