Contact
Contact

7m read

Wat is data-tokenisatie?

Wat vind je hier?

Cato Networks uitgeroepen tot Leader in het Gartner® Magic Quadrant™ 2024 voor Single-Vendor SASE

Download het rapport

Data-tokenisatie vervangt gevoelige gegevens door niet-gevoelige “tokens” om ze te beschermen tegen mogelijke blootstelling. Deze tijdelijke aanduidingen kunnen worden gebruikt in onveilige omgevingen waar geen toegang tot de echte gegevens vereist is, terwijl de database die tokens aan echte gegevens koppelt, in een veilige omgeving wordt bewaard. Tokens kunnen volledig willekeurig zijn of zijn ontworpen om het formaat van de echte gegevens te behouden, zoals een adres, telefoonnummer of overheidsidentificatienummer.

Tokenisatie is een benadering die organisaties kunnen aannemen om hun risico op datalekken en niet-naleving van regelgeving te verminderen. Door gevoelige gegevens te vervangen door een token waar de echte gegevens niet nodig zijn, elimineert een organisatie het risico op een datalek als dat systeem wordt gecompromitteerd door een aanvaller. Bovendien kunnen systemen zonder toegang tot echte, gevoelige gegevens buiten de reikwijdte van compliance-audits vallen, waardoor compliance eenvoudiger en goedkoper wordt.

Hoe data-tokenisatie werkt

Tokenisatie is als het geven van een codenaam aan een persoon of ding. In plaats van hun echte naam te gebruiken, worden ze in alle communicatie en documentatie aangeduid als Agent Blauw. Op deze manier leert een afluisteraar de echte identiteit van de persoon niet kennen.

Tokenisatiesystemen onderhouden een centrale, veilige kluis die de gevoelige mapping van de echte gegevens naar de tijdelijke aanduidingen beschermt. Wanneer gevoelige gegevens het systeem binnenkomen, worden ze naar het tokenisatiesysteem gestuurd, dat een token genereert en de mapping van tokens naar echte gegevens in de kluis opslaat.

Deze tokens kunnen in verschillende formaten komen. Bijvoorbeeld, een organisatie kan volledig willekeurige tokens van een vaste lengte genereren. Alternatief kan tokenisatie formaatbehoudend zijn, waardoor tokens worden gecreëerd die eruitzien als de echte gegevens. Bijvoorbeeld, het adres 123 Main St kan worden getokeniseerd als 385 W Elm Ave. Cruciaal is dat er geen manier is om het schema om te keren en de niet-getokeniseerde waarde te herstellen zonder toegang tot de veilige kluis.

Zodra de tokenisatie is voltooid, wordt de token gebruikt in plaats van de echte gegevens waar de echte gegevens niet nodig zijn. Aangezien tokens uniek zijn, kunnen ze worden gebruikt om een bepaald account of record uniek te identificeren en te volgen, maar de verstrekte informatie is allemaal onjuist. Als de echte gegevens echter nodig zijn, kunnen ze uit de kluis worden opgehaald. Bijvoorbeeld, de enige systemen die toegang kunnen hebben tot het echte adres van een klant zijn diegene die de facturering en verzending afhandelen.

Gegevens Tokenisatie vs Versleuteling vs Maskering

Bedrijven kunnen verschillende controles implementeren om het risico te beheersen dat gevoelige gegevens kunnen worden blootgesteld of misbruikt. Enkele van de meest voorkomende zijn:

  • Tokenisatie: Tokenisatie vervangt gevoelige gegevens door een unieke, niet-gevoelige token, terwijl de mapping tussen hen in een veilige kluis wordt opgeslagen. Tokens kunnen het formaat van de getokeniseerde gegevens behouden, wat nuttig kan zijn als een systeem gegevens van een bepaald formaat verwacht. In deze benadering is de tokenkluis een enkel punt van falen, waardoor alle gevoelige gegevens worden onthuld als deze wordt gecompromitteerd.
  • Versleuteling: Versleutelingsalgoritmen verstoren gegevens op een manier die onomkeerbaar is zonder toegang tot de decryptiesleutel. Met versleuteling wordt de toegang tot de decryptiesleutels gecontroleerd om de toegang tot de versleutelde gegevens te beveiligen.
  • Maskering: Maskering vervangt een deel van de gevoelige gegevens door andere tekens en is onomkeerbaar. Bijvoorbeeld, veel systemen tonen alleen de laatste vier cijfers van een creditcardnummer, waarbij de rest wordt vervangen door sterretjes.

Vergelijking van Gegevensbeschermingsmethoden

Method Omkeerbaarheid Prestatie-impact Formaatbehoud Primaire Gebruikscases Belangrijke Risico’s & Beperkingen
Tokenisatie Niet wiskundig omkeerbaar Laag–Gemiddeld Ja PCI, gezondheidszorg, PII-bescherming Kluiscompromis, leveranciersafhankelijkheid
Versleuteling Omkeerbaar met sleutels Gemiddeld Nee Gegevensvervoer, bestand/databases Sleutel-diefstal, prestatie-overhead
Format-Behoudende Versleuteling (FPE) Omkeerbaar met sleutels Gemiddeld Ja Betalingsverwerking, analyses Uitgebreid cryptografisch aanvalsvlak
Maskering Onomkeerbaar Laag Soms Testen, ontwikkelomgevingen Voldoet mogelijk niet aan de regelgeving, verliest trouwheid

Gebruikscases & Industrieën

Tokenisatie is een veelgebruikt hulpmiddel om de naleving van regelgevingseisen te vereenvoudigen. PCI DSS, HIPAA, GDPR en vergelijkbare wetten stellen strikte eisen aan de beveiliging van verschillende soorten gevoelige gegevens. Tokenisatie is nuttig in deze contexten omdat tokens niet op hetzelfde niveau als de echte gegevens hoeven te worden beveiligd, zolang de kluis veilig blijft.

Bijvoorbeeld, medische studies zijn een uitstekend voorbeeld van hoe tokenisatie regelmatig wordt gebruikt. In deze studies weten artsen mogelijk niet wie de patiënten zijn die het medicijn onder proef of een placebo ontvangen, om te voorkomen dat ze per ongeluk de resultaten beïnvloeden. In dit scenario zouden patiënten een identificator (bijv. een token) toegewezen krijgen die hen uniek identificeert zonder dat de artsen hun echte identiteit kennen of toegang hebben tot hun medische dossiers.

Tokenisatie kan ook worden gebruikt in contexten waar bepaalde systemen niet veilig en betrouwbaar genoeg zijn om echte gegevens te bevatten. Bijvoorbeeld, point-of-sale (POS) terminals of cloudinfrastructuur kunnen tokens gebruiken om gevoelige gegevens te vervangen wanneer ze geen toegang tot de echte informatie vereisen.

Voordelen, Risico’s & Beperkingen van Gegevens Tokenisatie

Tokenisatie is een nuttig hulpmiddel voor gegevensbeveiliging om verschillende redenen, waaronder:

  • Verminderde Blootstelling: Tokenisatie gebruikt tijdelijke aanduidingen om gevoelige gegevens voor te stellen op systemen die er geen toegang toe nodig hebben. Dit vermindert het risico op datalekken, aangezien systemen geen gegevens kunnen blootstellen die ze niet hebben.
  • Vereenvoudigde Naleving: Regelgeving vereist beveiligingscontroles en audits om gevoelige informatie te beschermen. Tokenisatie verkleint de reikwijdte van naleving door de systemen met toegang tot gevoelige gegevens te beperken.
  • Formaatbehoud: Getokeniseerde gegevens kunnen het formaat van de onderliggende gegevens behouden. Dit maakt het bruikbaar met systemen die gegevens in een bepaald formaat verwachten.

Echter, tokenisatie is geen perfecte oplossing. Het heeft verschillende beperkingen, waaronder:

  • Vault Centralisatie: Tokenisatie is afhankelijk van een veilige kluis om de koppelingen van de echte gegevens naar de bijbehorende tokens te beschermen. Als deze kluis wordt gecompromitteerd, worden de gevoelige gegevens blootgesteld.
  • Leverancier Lock-In: Tokenisatie vereist de mogelijkheid om gegevens te tokeniseren of op te zoeken indien nodig. Als dit proces afhankelijk is van een specifieke leverancieroplossing, introduceert dit het risico van leverancier lock-in.
  • Schalbaarheid en Betrouwbaarheid: De veilige kluis is een enkel punt van falen, aangezien het de enige plaats is waar tokens kunnen worden gebruikt om de bijbehorende gegevens op te zoeken. Als de kluis overbelast is of uitvalt, kan de prestaties en beschikbaarheid lijden.

Integratie van Gegevens Tokenisatie met Andere Controles

Tokenisatie is een element van een effectieve gegevensbeveiligingsstrategie en moet worden toegepast naast andere methoden, zoals encryptie of masking. In het algemeen is tokenisatie een goede keuze als er systemen zijn die geen toegang tot gevoelige gegevens vereisen, maar een soort unieke identificatie in de plaats nodig hebben, mogelijk in een bepaald formaat.

In tegenstelling tot biedt encryptie een omkeerbare manier om gevoelige gegevens te beschermen tegen blootstelling, waardoor het een goede keuze is voor het beschermen van gegevens tijdens transport of opgeslagen in een database. Dit aanvult tokenisatie door een optie te bieden om systemen te beveiligen waar toegang tot echte gegevens nodig is.

Beslissingsmatrix voor Tokenisatie vs Andere Controles

Scenario Beste Pas Controle(s) Opmerkingen: Cato-Enabled Optie
Betalingskaartverwerking Tokenisatie + DLP Tokenisatie vermindert de PCI-reikwijdte; DLP voorkomt lekken Inline DLP geleverd via Cato’s SASE-cloud
Gezondheidsdossiers (PHI) Tokenisatie + Versleuteling Tokens beschermen identificatoren; versleuteling voor transport Cato SASE gegevensbescherming + DLP
Analytics-werkbelastingen Versleuteling of FPE Tokens staan mogelijk geen gedetailleerde analyse toe Inline DLP voor veilige querybewaking
SaaS-bestanddeling (multi-cloud) Tokenisatie + DLP Voorkomt onopzettelijke blootstelling tussen huurders Cato DLP toegepast inline over apps

Overzicht van gegevens-tokenisatie

Gegevens-tokenisatie beschermt gevoelige gegevens tegen blootstelling door deze waar mogelijk te vervangen door niet-gevoelige tokens. Door gevoelige gegevens te verwijderen uit systemen die er geen toegang toe nodig hebben, vermindert tokenisatie het risico op datalekken en de reikwijdte van de vereisten voor naleving van regelgeving.

Het Cato SASE Cloud Platform biedt een eenvoudige oplossing voor het implementeren van gegevensverliespreventie (DLP) met tokenisatie-ondersteunende controles geïntegreerd in een wereldwijd PoP-netwerk. Door tokenisatie te combineren met andere gegevensbeschermingstechnieken, biedt Cato de tools die bedrijven nodig hebben om te voldoen aan beveiligings- en nalevingsvereisten. Verken Cato’s DLP- en gegevensbeschermingsoplossingen.

VEELGESTELDE VRAGEN

Wat is het verschil tussen datatokenisatie en encryptie?

Datatokenisatie vervangt gevoelige gegevens door niet-gevoelige tokens, terwijl een lookup-tabel binnen een veilige omgeving wordt behouden. Encryptie voert wiskundige transformaties uit op gegevens die alleen kunnen worden teruggedraaid met toegang tot de juiste decryptiesleutel.

Vermindert datatokenisatie de reikwijdte van PCI DSS of GDPR-audits?

Tokenisatie kan de reikwijdte van PCI DSS- en GDPR-audits verminderen door de set systemen met toegang tot gevoelige gegevens te verkleinen. Met tokenisatie zijn alleen die systemen met toegang tot de echte gegevens – niet de tokens – onderworpen aan compliance-eisen en audits.

Wat gebeurt er als een tokenkluis wordt gecompromitteerd?

Een tokenkluis behoudt een volledige mapping tussen tokens en de echte gegevens die ze vertegenwoordigen. Als deze wordt gecompromitteerd, worden gevoelige gegevens blootgesteld en kan een aanvaller tokens koppelen aan echte identiteiten in gegevens die uit andere systemen zijn verkregen. Om deze reden zijn tokenkluizen een enkel punt van falen en moeten ze worden beveiligd met encryptie, toegangscontroles en vergelijkbare beveiligingsbest practices.

Kan getokeniseerde data worden gebruikt voor analyses?

Tokenisatie vervangt gevoelige gegevens door een unieke token, waardoor het mogelijk is om analyses uit te voeren op de getokeniseerde gegevens. Echter, sommige informatie gaat verloren als gevolg van tokenisatie, waardoor de bruikbare gegevens die kunnen worden verzameld, beperkt zijn. Bijvoorbeeld, een bedrijf kan weten hoeveel eenheden van een product zijn gekocht, maar kan dit niet uitsplitsen per locatie, enz.

Is datatokenisatie op zichzelf voldoende?

Datatokenisatie is een aspect van een gegevensbeveiligingsprogramma en vervangt niet encryptie, DLP en toegangscontrole. Tokenisatie vermindert alleen de set systemen die toegang hebben tot de echte, gevoelige gegevens; het biedt geen manier om gegevens te beschermen op systemen die wel toegang tot deze gegevens nodig hebben. Bijvoorbeeld, facturerings- en verzendsystemen hebben toegang nodig tot echte adressen, niet getokeniseerde.

Is vaultless tokenisatie veiliger dan het gebruik van een tokenkluis?

Nee. Vaultless tokenisatie gebruikt een wiskundige formule om gegevens om te zetten in zijn getokeniseerde vorm. Deze benadering is afhankelijk van de geheimhouding van het algoritme dat wordt gebruikt om dit te bereiken. Als een aanvaller het algoritme raadt of leert, worden alle getokeniseerde gegevens blootgesteld.

Hoe beïnvloedt data-tokenisatie de systeemprestaties?

Tokenisatie heeft minimale prestatie-impact op systemen die getokeniseerde gegevens gebruiken, vooral als er gebruik wordt gemaakt van formaatbehoudende tokenisatie. Echter, bewerkingen die vereisen dat gegevens getokeniseerd worden of dat de echte gegevens uit de tokenvault worden opgehaald, zijn langzamer omdat ze communicatie met het tokenisatiesysteem vereisen, wat een gecentraliseerd, enkel punt van falen is. Deze prestatie-impact kan lager zijn dan bij encryptie, en tokenisatie moet onder belasting worden getest, vooral in cloudomgevingen.

Cato Networks uitgeroepen tot Leader in het Gartner® Magic Quadrant™ 2024 voor Single-Vendor SASE

Download het rapport

This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.

Innoveer, groei en bloei

Met een true SASE-platform

Met Cato plukt elke organisatie de vruchten van de digitale transformatie door de zaken op orde te hebben en klaar te zijn voor de toekomst.

 

Contact
ISO 27001 Certified
SOC2 Approved
GDPR Compliant
Copyright © 2026. All rights reserved.