令牌化(隐私)
令牌化(隐私) 是什么?
令牌化(隐私)用在受控令牌库之外没有可利用含义的非敏感令牌替代敏感数据值,从而缩小个人或受监管数据的范围。
令牌化通过确定性映射、随机查找或保留格式加密为敏感值(银行卡号、邮箱、身份号)生成一个令牌,并将对照关系保存在加固的令牌库中。与加密不同,令牌并非由明文经数学运算得出,因此即便令牌泄露,在缺少令牌库访问权限时也无法还原原始数据。它常用于缩小 PCI DSS 评估范围、基于假名标识符进行分析、支持安全的数据共享以及满足 GDPR 保障措施。ANSI X9.119、PCI SSC 令牌化指南以及 NIST SP 800-38G (FF1/FF3) 描述了可接受的方案。实际部署中通常配合严格访问控制、密钥轮换与防篡改日志。
● 示例
- 01
支付处理器向商户返回令牌而非原始 PAN,使商户脱离 PCI 评估范围。
- 02
数据分析仓库存储令牌化的客户 ID,映射库仅向授权服务开放。
● 常见问题
令牌化(隐私) 是什么?
用在受控令牌库之外没有可利用含义的非敏感令牌替代敏感数据值,从而缩小个人或受监管数据的范围。 它属于网络安全的 隐私与数据保护 分类。
令牌化(隐私) 是什么意思?
用在受控令牌库之外没有可利用含义的非敏感令牌替代敏感数据值,从而缩小个人或受监管数据的范围。
令牌化(隐私) 是如何工作的?
令牌化通过确定性映射、随机查找或保留格式加密为敏感值(银行卡号、邮箱、身份号)生成一个令牌,并将对照关系保存在加固的令牌库中。与加密不同,令牌并非由明文经数学运算得出,因此即便令牌泄露,在缺少令牌库访问权限时也无法还原原始数据。它常用于缩小 PCI DSS 评估范围、基于假名标识符进行分析、支持安全的数据共享以及满足 GDPR 保障措施。ANSI X9.119、PCI SSC 令牌化指南以及 NIST SP 800-38G (FF1/FF3) 描述了可接受的方案。实际部署中通常配合严格访问控制、密钥轮换与防篡改日志。
如何防御 令牌化(隐私)?
针对 令牌化(隐私) 的防御通常结合技术控制与运营实践,详见上方完整定义。
令牌化(隐私) 还有哪些其他名称?
常见的别称包括: 保留格式令牌化, 令牌库式令牌化。
● 相关术语
- privacy№ 875
假名化
将个人数据中的直接标识符替换为可还原的别名,使数据在缺少另行保管的附加信息时无法归属到具体个人。
- privacy№ 279
数据脱敏
用真实但虚构的值替代敏感数据,使下游用户、应用或环境可以使用数据而不会暴露原始信息。
- privacy№ 274
数据匿名化
对个人数据进行不可逆的处理,使其在与其他可用信息结合时也无法直接或间接识别到任何个人。
- privacy№ 280
数据最小化
一项隐私原则,要求组织仅在明确合法目的所必需的范围内收集、处理和保留个人数据。
- privacy№ 818
个人可识别信息 (PII)
可单独或与其他信息结合用于识别特定个人的任何数据,例如姓名、标识符或生物特征记录。
- privacy№ 278
数据丢失防护 (DLP)
在终端、网络、邮件和云服务中检测并阻止敏感数据未经授权外泄的一组技术与策略。