Токенизация
Токенизация — это процесс замены конфиденциальных данных уникальными идентификаторами (токенами), которые не имеют самостоятельной ценности и не могут быть использованы для восстановления исходных данных вне защищённой среды. Токенизация применяется в сфере информационной безопасности, финансовых технологиях, управлении активами и цифровой экономике для снижения рисков утечки данных и защиты персональной, платёжной и иной чувствительной информации.
История и происхождение
Токенизация как метод защиты данных начала развиваться в конце XX века в связи с ростом электронной коммерции. Первоначально технология использовалась для защиты номеров банковских карт (PAN — Primary Account Number) при платежах. В 2001 году компания Shift4 Corporation предложила концепцию «токенового хранилища» — безопасной базы данных, где исходные сведения заменяются случайными токенами, а доступ к хранилищу строго контролируется. Эта модель стала основой стандарта безопасности данных индустрии платёжных карт (PCI DSS), который с 2004 года обязателен для всех участников платёжной индустрии.
С 2010-х годов токенизация вышла за рамки платёжных систем. С появлением технологии блокчейн термин приобрёл дополнительное значение — представление реальных активов (недвижимости, ценных бумаг, произведений искусства) в виде цифровых токенов на распределённом реестре. Это породило понятие «токенизация активов», которое сегодня широко используется в сфере децентрализованных финансов (DeFi).
Виды токенизации
Токенизация данных
Это классический вариант, при котором замене подлежит чувствительная информация — номера карт, паспортные данные, медицинские записи. Существует два основных подхода:
- Централизованная токенизация (Token Vault) — токены генерируются и хранятся в едином защищённом хранилище (токеновое хранилище). Исходные данные никогда не покидают изолированную среду. При необходимости обратного преобразования (детокенизации) доступ к хранилищу разрешён только авторизованным системам. Этот подход используется в платёжных системах (Visa, Mastercard) и облачных сервисах (например, Apple Pay).
- Криптографическая токенизация — токен создаётся с помощью односторонних функций (хеширования) или симметричного шифрования, но при этом сам алгоритм может быть известен третьим сторонам. Отличие от шифрования в том, что токен не предназначен для обратного преобразования — если исходные данные не хранятся, они недоступны даже владельцу токена. Этот способ применяется в базах данных для хранения паролей (криптографическая соль) или анонимной статистики.
Токенизация активов (Asset Tokenization)
В этом контексте токен — это цифровое представление права собственности на физический или финансовый актив, записанное в блокчейне (распределённом реестре). Типы активов:
- Недвижимость — один объект делится на множество долей-токенов, что позволяет инвестировать в недвижимость с небольшими суммами. Пример: платформа RealT.
- Ценные бумаги — акции, облигации, доли в фондах, выпущенные в цифровой форме. Называются токенизированными ценными бумагами (security tokens). Регулируются законами о ценных бумагах, в том числе российским законодательством (ФЗ «О цифровых финансовых активах», 2020).
- Предметы искусства и коллекционные вещи — картина или скульптура «превращается» в несколько NFT (невзаимозаменяемых токенов). В отличие от обычной токенизации, NFT — это уникальный цифровой сертификат, привязанный к конкретному объекту, но сам объект при этом может оставаться в физическом мире.
- Товары — драгоценные металлы, нефть, зерно, кофе. Токен представляет право на определённое количество товара, хранящегося на складе. Пример: платформа Paxos для токенизации золота.
Токенизация платежей
Наиболее массовая форма. В основе лежит стандарт EMV (Europay, Mastercard, Visa) — технология токенизации для бесконтактных платежей. При добавлении карты в мобильный кошелёк (Apple Pay, Google Pay, Samsung Pay) банк-эмитент генерирует уникальный цифровой токен — «устройственный номер счёта» (DPAN), который не совпадает с номером физической карты. При совершении платежа токен передаётся продавцу, а банк обрабатывает операцию, сопоставляя токен с реальным счётом. Таким образом, продавец никогда не получает данные основной карты. Токен привязан к конкретному устройству и может быть отозван при его утере или удалении карты из кошелька.
Устройство и принцип работы
В основе токенизации данных лежит простая архитектура:
- Источник данных (например, база данных банка) передаёт конфиденциальную информацию в систему токенизации.
- Генератор токенов создаёт случайную строку символов (токен) и связывает её с исходными данными в специальной записи токенового хранилища. Связь «исходные данные — токен» хранится только в этом хранилище.
- Исходные данные могут быть удалены из источника или оставлены только в хранилище. Внешние системы (например, сервисы продавца) получают только токен и используют его для идентификации клиента, заказа, транзакции.
- При необходимости обратного преобразования (например, для расчёта налогов или возврата платежа) запрос на детокенизацию поступает в хранилище, которое проверяет права доступа и, при подтверждении, возвращает исходные данные.
Токены обычно имеют определённый формат: например, для платёжных карт они часто состоят из 16 цифр, начинаются с той же цифры, что и исходный номер, и проходят проверку по алгоритму Луна. Формат сохраняется, чтобы продавец не менял свою систему.
Применение в России
В России токенизация используется преимущественно в двух сферах:
- Платёжная индустрия — сервисы Mir Pay, SberPay, Тинькофф Pay и другие мобильные кошельки основаны на технологии токенизации. Все операции по бесконтактным платежам проходят через безопасные токены, соответствующие стандарту EMV. С 2021 года поддерживается токенизация карт платёжной системы «Мир».
- Защита данных — крупные банки и IT-компании применяют централизованную токенизацию для хранения паспортных данных клиентов, ИНН, СНИЛС. Токены используются в CRM-системах, колл-центрах и аналитике, чтобы минимизировать объём конфиденциальной информации.
Токенизация активов в российской юрисдикции развивается в рамках законодательства о цифровых финансовых активах (ЦФА). По состоянию на 2025 год в России зарегистрированы и функционируют несколько платформ, выпускающих ЦФА: «Атомайз», «Сбербанк-А», «Лайтхаус». Они токенизируют доли в инвестиционных фондах, корпоративные облигации и дебиторскую задолженность. Регулятор — Банк России — требует, чтобы все операции с ЦФА проходили через уполномоченные информационные системы, а токены учитывались в депозитарии.
Преимущества и ограничения
Преимущества
- Повышение безопасности — даже при утечке базы токенов злоумышленник не может восстановить исходные данные без доступа к хранилищу. Токены не содержат чувствительной информации.
- Соответствие стандартам — токенизация упрощает прохождение аудита PCI DSS, HIPAA (для медицинских данных) и требований по защите персональных данных (152-ФЗ). Область сертификации сокращается, так как токены не считаются конфиденциальными.
- Гибкость — токены можно обновлять, отзывать и выпускать без изменения физических данных клиента. Одна карта может быть представлена десятками токенов для разных продавцов.
- Анонимность — токены не содержат информации о владельце, что позволяет обрабатывать данные без нарушения конфиденциальности.
Ограничения
- Зависимость от хранилища — если токеновое хранилище будет скомпрометировано или выйдет из строя, все связанные данные окажутся под угрозой. Требуется высокий уровень физической и программной защиты хранилища.
- Одноразовость и срок жизни — токены, как правило, не предназначены для многократного использования в разных контекстах. Для каждого сервиса или устройства выдаётся отдельный токен, что усложняет управление.
- Совместимость — не все системы поддерживают токенизированные данные. Интеграция требует доработки ПО, особенно при работе с международными процессами.
- Правовые риски — в ряде юрисдикций (включая Россию) операции с токенами активов могут подпадать под регулирование рынка ценных бумаг, требующее лицензирования и раскрытия информации.
Критика и риски
Основная критическая точка — уязвимость токеновых хранилищ. Хотя принцип токенизации делает бесполезными похищенные токены, хранилища остаются привлекательной целью для атак: если взломщик получит доступ к базе данных хранилища и к ключам для детокенизации, все данные будут раскрыты. В 2019 году компания FICO сообщала о случаях атак на токеновые системы, когда злоумышленникам удавалось скомпрометировать сам процесс генерации токенов.
Другая проблема — ложное чувство безопасности. Токенизация не защищает от утечек исходных данных на этапе их сбора (например, если продавец хранит не только токен, но и сам номер карты). Стандарт PCI DSS требует от продавцов либо не хранить данные вообще, либо токенизировать их, однако на практике многие хранят обе версии.
В сфере токенизации активов — отсутствие единой правовой базы. Платформы DeFi действуют в «серой зоне» регулирования: токены могут представлять собой ценные бумаги, но не проходить регистрацию в госорганах. В России любая токенизация активов без регистрации в реестре Банка России потенциально незаконна. С 2024 года ЦБ РФ запретил выпуск необеспеченных криптовалютных токенов для обхода финансового контроля.
Интересные факты
- Крупнейшее токеновое хранилище — Mastercard Digital Enablement Service (MDES) — генерирует более 10 миллиардов запросов на токенизацию в год.
- Токенизация паспортных данных в России внедряется через систему «Единая биометрическая система» (ЕБС): биометрические шаблоны (лицо, голос) токенизируются и хранятся отдельно от паспортных данных.
- В блокчейне Ethereum токенизация золота (например, токен PAXG или XAUT) позволяет владеть 1 граммом золота, хранящегося в швейцарском хранилище, без физического перемещения металла.
Источники
- Стандарт безопасности данных индустрии платёжных карт (PCI DSS), версия 4.0, 2022.
- Федеральный закон РФ «О цифровых финансовых активах» № 259-ФЗ, 2020.
- Mastercard: Digital Enablement Service Technical Reference, 2023.
- Доклад Банка России «Цифровые финансовые активы: текущее состояние и перспективы», 2024.
- Книга Б. Кливленда и Дж. Роулинза «Токенизация: безопасность платежей и защита данных» (Tokenization: Payment Security & Data Protection), 2017.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →