最新的PCI标准为处理数字支付系统的组织引入了新的复杂性。PCI要求3禁止存储不安全的信用卡信息。未能做到这一点的处罚可能使他们面临50万美元或以上的罚款。

满足PCI要求3标准不仅对避免监管制裁很重要。满足需求3的组织不太可能遇到安全漏洞。一项调查发现，只有32.7%的公司符合要求3标准，但这些公司只占安全漏洞的18.2%。

这种差异背后的原因很难查明。增强安全性以符合要求3可能会使黑客更难渗透系统。满足第3条的要求也可以对潜在的网络犯罪分子起到威慑作用。最可能的解释是两者的结合。

然而，云零售，许多公司未能满足PCI要求3。新的标记化标准正在促进法规遵从性并将数据被盗的风险降至最低。理解这些标记化服务背后的基本代码和体系结构非常重要。这里是一个快速概述。

网络令牌化器概述

为了了解令牌化器的好处，有必要了解传统的加密协议。在开发令牌化之前，SAP完全依赖于应用程序加密。在应用程序加密下，无论何时从SAP数据库发送或读取数据，都会对所有数据进行加密或解密。

令牌化服务消除了SAP处理直接加密的需要。令牌化脚本存储在第三方服务器上，负责所有加密。

"传统加密已经过时，无法提供现代SAP平台所依赖的安全解决方案，大数据软件，"FraudLabs Pro的高级分析师Christine Lum说通过标记化，满足PCI法规遵从性是非常容易的。我预计在未来五年内，80%受PCI要求约束的商户将使用令牌化。

SAP令牌化器提取一段代码并将其分为多个部分。这是最常见的信用卡信息。Paymetric报告说，这种方法有许多好处。

敏感的信用卡信息被转换成加密的令牌，返利平台，存储在SAP中。输入不会直接传输到字段本身，物联网大会，因此它们不容易解码。

Web标记器通常用C编码，但也可以用JavaScript和其他基于C的语言编写。下面是我的一位同事在Github上提供的一个Web标记器脚本的代码摘录：

这个脚本将输入变量分解为12个标记。通过使用20个或更多令牌，可以实现更高级别的安全性，并有更高的可能性满足PCI要求3的遵从性。但这可能不是必需的，因为现有代码为大多数基于SAP的支付系统提供了足够的安全性。

脚本中通常至少有六个标记器变量。其中一些令牌是可编辑的，而另一些具有只读权限。

尽管令牌化服务的框架相对简单，但创建处理它的基础设施要复杂得多。组织需要一个Web服务接口或RFC来处理协议。大多数组织缺乏适当部署此类服务的内部专业知识。

即使组织可以开发自己的标记化服务，新手建站教程，也不建议这样做。它们的环境可能缺乏提供足够加密的同质性。如果令牌加密层与环境中的其他加密代码过于相似，那么安全漏洞的风险就会上升。

这些问题都可以通过使用第三方令牌化服务来解决。虽然正式的行业范围的审计尚未证实我的猜测，但我怀疑使用第三方代币化的品牌更有可能满足PCI要求3的合规性。

硬件零售业的Hilary Welter解释说，代币化还有其他好处，例如提高了客户的便利性。