On-line aankopen gebeuren op veilige manier dankzij tokenisatie

Dat betalingen on-line op een veilige manier moeten gebeuren, daar is iedereen het over eens. Maar wat is het mechanisme achter deze veilige betalingen? De bescherming van de transactiegegevens gebeurt onder andere dankzij tokenisatie of anonimisatie van gegevens. Klinkt dit als Chinees? Nee hoor. Een voorbeeld. U wil een cadeau kopen op een webshop zoals amazon.com of bol.com. U klikt op het winkelmandje en de webshop vraagt uw kredietkaartnummer. Omdat u vertrouwen heeft in de webshop klikt u op bevestigen en het pakje komt enkele dagen later aan. Zo heeft u geen urenlang moeten aanschuiven in een “fysieke” winkel en heeft u uw tijd niet verloren in de files.

Maar hoe zit het met de beveiliging van de gegevens van uw bankkaart op deze site? U vertrouwt erop dat de site uw gegevens op een veilige plaats zal bewaren en dat hackers geen toegang zullen hebben tot deze gegevens - en ze dus niet gaan kunnen gebruiken voor frauduleuze activiteiten. Daar stopt het verhaal voor u als consument.

Natuurlijk is dit verhaal iets anders indien het gaat over uw webshop. Indien u de persoon bent die producten verkoopt op een website, dan hebt u de plicht om ervoor te zorgen dat de bankgegevens van uw klanten veilig zijn op uw webshop. En ook wanneer u die gegevens doorgeeft aan de banken om een betaling te laten uitvoeren. Hier gaat tokenisatie in zijn werk. Tokenisatie is niet hetzelfde als encryptie, een term die u op Whatsapp waarschijnlijk wel eens bent tegengekomen. Encryptie, of versleuteling, is het coderen van gegevens volgens een bepaald algoritme, terwijl tokenisatie het opknippen van informatie is, dat niet via een algoritme te ontsleutelen is.

Computerhacker

Dankzij de S-Token worden de bankgegevens, die doorgegeven worden van een bedrijf (bijvoorbeeld een webshop) naar een ander (bijvoorbeeld een bank), getokeniseerd. Dat wil dus zeggen dat het nummer van de bankkaart vervormd wordt tot een token, dus een serie cijfers die lijken op een kaartnummer, maar die het eigenlijk niet zijn. Dankzij deze procedure kunnen de bankgegevens niet opgehaald worden door een hacker, want zelfs als die erin slaagt om op een illegale manier binnen te breken in het systeem van gegevensopslag, zal hij er enkel een rij cijfers vinden die niet meer overeenkomen met het kaartnummer. De hacker zal dus toegang krijgen tot de gegevens, maar zal er niets mee kunnen doen.

Geen algoritme

De S-Token gaat redelijk ver in de tokenisatie, want het laat toe om het bankkaartnummer te tokeniseren gedurende het hele proces van gegevensoverdracht. Dat betekent dus dat de token hetzelfde blijft tijdens de hele rit die het moet uitvoeren om aan te komen op de plek waar het nummer gedetokeniseerd zal worden.

Je kan ook andere gegevens tokeniseren, zoals namen. Stel dat u de namen van uw werknemers naar een ander bedrijf wil sturen, kunt u die versleutelen. De andere bedrijven die de token enkel doorgeven, zullen dus geen toegang hebben tot de naam en voornaam van deze mensen. Dus zelfs als die tussenschakels niet goed beveiligd zijn tegen hacking en indien een hacker deze gegevens kan onderscheppen, zal hij de informatie van de token niet kunnen ontcijferen. Een voordeel dus voor de gegevensverwerking, die in overeenstemming moet zijn met GDPR.

De S-Token is ook niet ontcijferbaar met een wiskundige functie die de waarde van een token kan berekenen (een soort algoritme), maar gebruikt cryptografische modules en een “virtuele kluis” om de oorspronkelijke gegevens te kunnen herstellen. De sleutel, dus de correspondentie tussen de initiële gegevens en de token, bevindt zich op een veilige plaats op de server van de token-aanbieder. De toegang tot deze plaats is zelf versleuteld en de toegangssleutel verandert vaak.  

Meer pogingen tot fraude

Waarom is dat allemaal nodig? Omdat er alsmaar meer pogingen tot fraude zijn. Zo blijkt ook uit audits van Verizon en Trustwave in 2018. Daarbovenop zijn, volgens cijfers uit 2016 van Verizon, in de hele wereld maar zes op de tien IT-bedrijven (61,3%), 59,1% van de banken en 42,9% van de retail-bedrijven conform de PCI DSS- en de EMVCo-aanbevelingen voor de financiële sector. Dat betekent dus dat bijna de helft van de bedrijven wereldwijd hun gegevens niet goed genoeg beveiligen.

De S-Token is software die ervoor zorgt dat gevoelige gegevens worden beveiligd conform deze normen en vermijdt dat hackers toegang krijgen tot bankgevens of privé-gegevens van klanten. Het is dus een onzichtbare beveiliging voor de klant, maar eentje die ervoor zorgt dat uw klanten zeker zijn dat andere mensen geen pakjes krijgen die betaald werden door zijn kredietkaart.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Keyware Technologies N.V. (Zaventem)).

Meer info: 02/346.25.23 of www.keyware.be.