Токенизация vs шифрование: что выбрать для защиты платежных данных

Как работает шифрование платёжных данных

Шифрование — это обратимое преобразование: открытый текст (номер карты, реквизиты) превращается в шифртекст с помощью криптографического алгоритма и ключа. Имея ключ, шифртекст можно вернуть к исходному виду. Именно обратимость определяет и силу, и ограничения подхода.

Ключевые свойства для платёжных сценариев:

- **Обратимость по ключу.** Данные всегда можно расшифровать — это нужно для обработки, сверок, передачи в платёжный шлюз. Но это же делает ключ главной точкой риска. - **Защита — это защита ключа.** Скомпрометирован ключ — скомпрометированы все данные. Поэтому ключи хранят и используют в аппаратных модулях безопасности (HSM), а доступ строго разграничивают. - **Данные остаются «чувствительными».** Зашифрованный PAN (номер карты) по логике стандартов — всё ещё данные держателя карты. Системы, где он хранится или расшифровывается, остаются в области аудита. - **Формат меняется.** Обычное шифрование меняет длину и формат, что ломает старые поля БД и интеграции; формат-сохраняющее шифрование (FPE) частично решает это, но не меняет обратимой природы.

Как работает токенизация

Токенизация заменяет реальное значение (например, PAN) на токен — суррогат того же формата, но без математической связи с оригиналом. Соответствие «токен ↔ реальное значение» хранится в защищённом токен-хранилище (token vault) либо вычисляется по криптографическому алгоритму без обратимости в прикладных системах. В отличие от шифрования, из токена нельзя «вычислить» исходные данные — их можно только сопоставить через изолированное хранилище под строгим контролем.

Что это даёт на практике:

- **Реальные номера карт исчезают из систем.** В CRM, аналитике, логах, бэкенде обращается токен, а не PAN. Утечка такой базы не раскрывает платёжные данные. - **Формат сохраняется.** Токен можно сделать той же длины и структуры, что и карта (с сохранением последних 4 цифр), — старые поля и интеграции не ломаются. - **Область аудита сокращается.** Системы, которые видят только токены, при правильной сегментации выводятся из основной области PCI DSS — это главный экономический эффект. - **Детокенизация — узкая и контролируемая.** Возврат к реальному PAN происходит только в одном изолированном компоненте (token vault / детокенизатор), а не по всему ландшафту.

Обратимость и влияние на область PCI DSS (scope)

Главное практическое различие лежит не в криптографии, а в том, как стандарт PCI DSS относится к результату. Зашифрованный номер карты остаётся данными держателя карты: любая система, где он хранится, передаётся или расшифровывается, попадает в область аудита (CDE — cardholder data environment). Шифрование снижает риск утечки, но не уменьшает периметр, который нужно защищать и проверять.

Токен при правильной архитектуре данными карты не является: если прикладная система видит только токены и не может выполнить детокенизацию, её обоснованно выводят из области аудита. Это и есть основной экономический смысл токенизации — меньше систем в scope, меньше объём ежегодной проверки, ниже совокупная стоимость соответствия. Важная оговорка: вывод из scope корректен только при строгой сегментации и изоляции детокенизатора — иначе область «расползается» обратно.

Сценарии: карты и персональные данные

Подходы выбирают не «вообще», а под конкретный сценарий обращения с данными. Ниже — типовые ситуации и логичный выбор.

- **Хранение номеров карт (card-on-file, рекуррентные платежи).** Сильна токенизация: реальные PAN уходят в изолированное хранилище, прикладные системы работают с токенами, область аудита сокращается. - **Передача данных в платёжный шлюз / между системами.** Сильно шифрование (в т.ч. транспортное, TLS, шифрование полей): данные должны быть восстановимы на приёмной стороне под ключом. - **Аналитика, отчётность, антифрод по картам.** Токенизация: для большинства задач достаточно стабильного токена (он одинаков для одной карты), реальный PAN не нужен. - **Персональные данные (ПДн) под 152-ФЗ.** Чаще комбинация: шифрование по ГОСТ для каналов и хранилищ + токенизация/псевдонимизация идентификаторов, чтобы прикладные системы не работали с «сырыми» ПДн. - **Резервное копирование и архивы.** Шифрование как базовый слой; токенизация дополнительно снижает ценность утекшей копии.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики СКЗИ, систем токенизации и HSM сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, наличие в реестрах и сертификация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом категории](/rating/encryption-tokenization-hsm): здесь — суть подходов и критерии выбора, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с подходом — переходите к сравнению поставщиков: **[рейтинг СКЗИ, шифрования и HSM →](/rating/encryption-tokenization-hsm)**. Полезно прочитать рядом: [рейтинг российских СКЗИ и HSM](/research/reyting-skzi-hsm-rossiya), [российские HSM-модули на замену Thales и Gemalto](/research/rossiyskie-hsm-zamena-thales) и [ГОСТ-шифрование и СКЗИ: требования ФСБ и 152-ФЗ](/research/gost-shifrovanie-skzi-trebovaniya).