Esta semana trabajamos en algo llamado tokenización, para aquellos que no sepan que es la tokenización, pues básicamente es un concepto bastante sencillo el cual consiste en el remplazo de un dato confidencial por otro que no lo es, digamos que es más como una bóveda digital donde se puede guardar información sensible.
Para que se den una idea de que sistemas utilizan esto, pensemos en los market place de las plataformas móviles, por ejemplo.. se han puesto a pensar como es que en iTunes Store, Google Play u otros podemos comprar algo simplemente presionando sobre el botón “comprar” ¿? .. pues si creían que estas empresas almacenaban los datos de nuestras tarjetas, se equivocan, ya que hacen uso del servicio de terceros para hacer tokenización, puesto que tras la primera compra en estos sitios, estas empresas envían algunos datos de nuestras tarjetas a esas bóvedas, que luego pueden recuperar a través de un token para hacer nuevamente una transacción.
El funcionamiento de estos sistemas a grandes rasgos sería de la siguiente manera:
- Enviamos una petición a un servicio de tokenizado y este recibe los datos confidenciales (sé de pocas empresas que hacen esto).
- La información enviada es almacenada en un servidor de datos y protegido empleando métodos de cifrado de datos de alto nivel, comúnmente a este tipo de servidores se les conoce como “Data Vault”.
- El servicio genera un token, que es un dato no confidencial a partir de la información almacenada y este se retorna a la aplicación que solicitó la petición de tokenización.
- Ahora cada vez que se desea recuperar la información confidencial, se hace un llamado al servicio de tokenizado, se envía el token junto con las credenciales de seguridad, y si estos datos son correctos, el servicio responderá con la información confidencial almacenada previamente.
Esta técnica puede ser utilizada en diversos modelos de seguridad de datos donde se necesite proteger información confidencial, tal como podrían ser números de tarjetas, cuentas bancarias, información médica o cualquier otro dato de caracter personal y confidencial.
Y bueno, quizás iTunes Store o Google Play no precisamente usen tokenización, pero era el ejemplo perfecto 😀
Happy Coding!