Semplicemente curioso, qual è l'algoritmo comune utilizzato per tokenizzare la carta di credito di un utente? So che molti servizi utilizzano PRNG (numero casuale). Ri-genera semplicemente un numero casuale quando c'è un conflitto? Che ne pensi di usare UUID come token? Quali sono i pro e i contro?
La tokenizzazione utilizza solo generatori di numeri casuali per generare un determinato ID e collegare tale ID a una carta, non è possibile in alcun modo, ad esempio, eseguire il reverse engineering del token da un numero di carta o viceversa.
A volte le ultime 4 cifre sono conservate come parte del token da mostrare all'utente. Questo è utile per alcuni negozi, come Amazon, in cui un utente potrebbe aver configurato diverse carte di credito.
Normalmente la tokenizzazione avviene in modo tale che la casualità e lo spazio delle chiavi sono così grandi che i token di collisione sono molto inconsistenti. Nel caso in cui fosse già presente un token, è necessario ricreare il numero casuale prima di eseguire il commit nel database (spesso i database hanno vincoli univoci sul token e vengono utilizzati come chiavi secondarie o primarie).
I professionisti sono che è possibile ridurre significativamente lo scope PCI. Ad esempio, i database utilizzati per l'analisi sulla spesa di una persona non devono necessariamente far parte della zona PCI in quanto non saranno presenti dati PAN.
Non ci sono contro. Qualche contrattempo che potresti avere è per gli acquirenti di carte che non vogliono che il loro helpdesk abbia accesso ai numeri delle loro carte clienti. Quindi potrebbe essere che l'acquirente debba stampare un numero di identificazione aggiuntivo sulla carta del cliente in modo che possa essere identificato.
Leggi altre domande sui tag credit-card token