Tokenizasyon
Ödeme sistemleri gelişen teknolojiler ile sahteciliğe ve izinsiz kullanımlara karşı pek çok önlem geliştirerek uygulamaya konuldu. EMV bunlardan bir tanesi ve yüzyüze işlemlerde kartların kopyalanma olasılığını ortadan kaldırdı, bununla da kalmayarak offline mecrada belirlenen parametreler doğrultusunda kartın kullanılabilmesine imkan tanıdı.
Yüzyüze işlemlerden farklı olarak kart bilgilerinin kullanılması, arayüzlerden girilmesi ve sistemler arasında taşınmasını gerektiren CNP işlemler ve benzeri birçok yeni işlem tiplerinde hassas verinin korunması amacıyla kullanılan yöntemlerden biri de tokenization’dır.
Nedir ?
Tokenization tanım olarak hassas bir verinin, kartlı ödemeler söz konusu olduğunda kart numarası (PAN) verisinin, belirli bir algoritma dahilinde “token” adı verilen ve ele geçirilmesi durumunda aslı gibi kullanılma ihtimali bulunmayan farklı bir veri ile değiştirilmesi prosesidir.
Ödeme sistemleri alanında Tokenization denilince genel anlamda 3 çeşit kullanımdan söz edilebilir : Acquiring Token, Issuer Token ve EMV Payment Token. Bu yazıda gelen olarak Payment Token kurallarına değinmeye çalışacağım.
PCI SSC 3.2 uyarınca SAD (Sensitive Authentication Data) yani CVV2 ve şifre bilgileri tokenize edilemez. Dolayısıyla ödemeler dünyası için tokenizasyon denildiğinde sadece kart numarası hesaba katılmalıdır. PCI Security Standarts Council, kullanılan tokenizasyon ürününün PCI DSS uyumluluğu açısından değerlendirilmesi amacıyla bazı rehberler yayınlamış durumda.
PCI’a göre tokenizasyon sisteminin güvenli sayılabilmesi için tokendan yola çıkarak PAN’ın tahmin edilebilmesi ihtimalini 1/1⁰⁶’den büyük olması gerekmektedir (milyonda bir). Tokenize edilmiş verilerin ele geçirilmesine yönelik uygulanan yöntemlerden en bilineni Rainbow Table olarak adlandırılıyor.
Ne İşe Yarar ?
Tokenizasyon verinin ortamlar arasında taşınması sırasında izinsiz kişilerce ele geçirilmesi durumunda kullanılamaması amacıyla yapılır. Tokenize edilen veri ulaştığı hedef sistemde kullanılabilmesi için de-tokenize edilmesi gerekmektedir. Dolayısıyla tokenizasyon kriptografik anahtar vasıtası ile yapılmış ise kullanılan kriptografik şifreleme işlemi geri döndürülebilir bir yöntem ile yapılmak durumundadır. Kriptografik şifreleme yöntemi ile oluşturulmayan tokenlar “Data Vault” adı verilen güvenli sistemlerde eşleştirilmek suretiyle de-tokenize edilir.
Bu noktada tokenizasyon yöntemlerine ve türlerine bir göz atmakta fayda var.
A. Oluşturulma Yöntemine Göre Tokenizasyon Türleri
Tokenizasyon geri döndürülebilir (Reversible) ve geri döndürülemez (İrreversible) olmak üzere 2 türde yapılabilir.
Geri döndürülebilir nitelikte olan tokenlar bir kriptografik anahtarın kullanılması suretiyle ya da bir veri tabanında token’a eşlenik olarak tutulan kart bilgisinin bir fonksiyon ile çağrılması suretiyle de-tokenize edilebilir.
Geri döndürülemez nitelikte olan tokenlar ise doğrulanabilir (authenticatable) ve doğrulanamaz (non-authenticatable) olarak 2 çeşittir. Doğrulanabilir tokenlar tek yönlü matematiksel fonksiyonlar ile oluşturulabilirler.
B. Formatına Göre Token Ayrımı
- Formatı koruyan
Kart Numarası : 4111 1111 1111 1111
Formatı Koruyan Token : 4111 8765 2345 1111
2. Formatı korumayan
Kart Numarası : 4111 1111 1111 1111
Formatı Korumayan Token : 25c92e17–80f6–415f-9d65–7395a32u0223
Formatı koruyan tokenlar kullanım kolaylığı bakımından en az etki yaratanlardır, zira veri tabanlarında kart numarasına göre tasarlanmış alanlar değişiklik gerektirmeden token için de kullanılabilir.
Formatı koruyan tokenizasyon çeşidinde token ile gerçek kartın birbirinden ayırt edilebilmesine yönelik sistemlerin varlığı önemlidir. Aksi taktirde kart numaralarının token gibi algılanması ve yanlışlıkla açığa çıkması mümkün olabilir.
C. Kullanım Sayısına Göre Token Türleri
Tek Kullanımlık (Single Use) Token
Çok Kullanımlık (Multi Use) Token
Tokenizasyon Vs Encryption (Şifreleme)
Birbirlerine benzer konular olsalar da Encryption (Şifreleme) ve Tokenization aynı şey değildir. Şifreleme geri döndürülebilir olduğu halde tokenizasyon değildir. Irreversible tokenlardan yola çıkarak hiçbir şekilde orijnal değere ulaşmak matematiksel olarak mümkün değildir. Şifreleme ise kullanılan anahtarın uzunluğu ve kullanılan şifreleme yönteminin zorluğu ölçüsünde güvenlidir. Encryption yönteminde veri şifreli olduğu sürece güvendedir fakat ödemenin gerçekleşebilmesi için genellikle şifrelemenin çözülmesi ve açık verinin kullanılması gerekmektedir. Doğal olarak açığa çıkan veri ataklara maruz kalabilmektedir.
Şifreleme bir verinin sahip olunan şifreleme anahtarı ile çözme anahtarı bulunmayan taraflarca okunamamasını sağlamak üzere alter edilmesidir.Tokenizasyonda token kullanılırken şifreleme işleminde şifre kullanılır.
Reversible Token İçin Ayrı Bir Parantez
Reversible token esasında encryption ile kısmen aynı şey olarak değerlendirilebilir. Her iki yöntem de metod olarak aynı mantık üzerine kurulu. Fakat encryption genel bir kavram olması sebebiyle herhangi bir uzunlukta anahtar ile herhangi bir yöntem ile yapılabilirken PCI uyumlu tokenizasyon sisteminin asgari 128 bit anahtar (AES) kullanıyor olması gereklidir.
Yine PCI uyumluluğu için kullanılan sistemlerin endüstri standartlarına uygunluğunun belgelenmesi şartı bulunuyor.
Token Service Provider
Tokenizasyon işlemi işyeri tarafından kendi kontrolü altında yapılabileceği gibi harici bir hizmet sağlayıcıdan da bu hizmet temin edilebilir. TSP (Tokenization Service Provider) olarak isimlendirilen bu kurumların varlığı PCI DSS uyumluluğu anlamında işyerinin yükünü azaltıcı bir aktör olarak değerlendirilebilir.
Standartlar
EMVco, yürürlükte olan tokenization standardının yeni versiyonunu V2.1 olarak Ağustos 2020'de yayınladı. Söz konusu standart için 10 Eylül 2020 tarihine kadar görüş iletilebilecek.
ASC X9 (Accredited Standards Committee X9), EMVco ve PCI DSS tarafından finansal sistemde kullanılmak üzere hazırlanmış standartlar mevcuttur.
EMVco PAR (Payment Account Reference)
Tokenizasyon işleminde üretilen tokenın kullanım alanına göre kısıtlanabiliyor olması nedeniyle tek bir kart numarası için onlarca geçerli tokenın üretilebilmesi mümkün hale gelmektedir. Bu durum, de-tokenizasyon işleminde kart numarasına ihtiyaç duyulması nedeniyle veri güvenliği açısından sıkıntı yaratmaktaydı. EMVco tarafından geliştirilen PAR standardı bu soruna çare olmayı amaçlıyor. PAR değeri bütün tokenlar ile ilgili kart numarası arasındaki ilişkiyi sağlamaya yarıyor. Kart hamilleri tarafından bilinmesi gerekmiyor zira işyerleri, acquirer ve issuerların bu değeri kullanarak işlemleri sorunsuz şekilde gerçekleştirmeleri amaçlanıyor.
BIN Controller Identifier EMVco tarafından tahsis ediliyor.
HCE ve Tokenizasyon
Yazılım tabanlı güvenlik çözümlerinin kullanıldığı HCE (Mobil Temassız Ödeme) uygulamalarının (OEM Pay) tamamında tokenizasyon teknolojisi kullanılmaktadır.
Global kartlı ödeme kuruluşları kendi tokenizasyon servislerini üyelerine sunmaktadır.
Türkiye’nin Ödeme Yöntemi TROY olarak bizler de sunduğumuz mobil temassız ödeme ürünü kapsamında Üyelerimize tokenizasyon hizmeti vermekteyiz.
Tokenization bir teknoloji olarak ihtiyaç duyulan her üründe kullanılabilecek şekilde dizayn edilebilir. Kullanım alanı bakımından bir sınırlandırma yoktur.
Bazı Terimler:
Acquiring Tokens : Acquirerların, işyerlerinin kart hamili tarafından girilen kart bilgileri üzerinden ürettikleri token’dır.
Token Generation : “Random Number Generation” veya kriptografik işlem ile asıl verinin yerine geçecek olan Token verisinin oluşturulması işlemidir.
Token Mapping: Oluşturulan token ile asıl değeri karşılaştıran sistem bileşenidir.
Token Data Store: Asıl değer ile token değerini içeren sistemdir.
Token Domain Restriction Control (Alan Kontrolü) : Oluşturulan token değerinin belirli işyerlerinde, belirli kanallarda veya tutar aralıkların kullanılabilmesine yönelik yapılan kısıtlamalardır. Önemli bir özelliktir.
Token Provisioning : Token verisinin kullanılacağı sisteme aktarılması sürecidir.
Kaynaklar :
https://www.pcisecuritystandards.org/documents/Tokenization_Product_Security_Guidelines.pdf
https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf
https://csrc.nist.gov/publications/detail/sp/800-90a/rev-1/final
