Открыть сервис

Токенизация

Токенизация — это процесс замены конфиденциальных данных уникальными идентификаторами (токенами), которые не имеют самостоятельной ценности и не могут быть использованы для восстановления исходных данных вне защищённой среды. Токенизация применяется в сфере информационной безопасности, финансовых технологиях, управлении активами и цифровой экономике для снижения рисков утечки данных и защиты персональной, платёжной и иной чувствительной информации.

История и происхождение

Токенизация как метод защиты данных начала развиваться в конце XX века в связи с ростом электронной коммерции. Первоначально технология использовалась для защиты номеров банковских карт (PAN — Primary Account Number) при платежах. В 2001 году компания Shift4 Corporation предложила концепцию «токенового хранилища» — безопасной базы данных, где исходные сведения заменяются случайными токенами, а доступ к хранилищу строго контролируется. Эта модель стала основой стандарта безопасности данных индустрии платёжных карт (PCI DSS), который с 2004 года обязателен для всех участников платёжной индустрии.

С 2010-х годов токенизация вышла за рамки платёжных систем. С появлением технологии блокчейн термин приобрёл дополнительное значение — представление реальных активов (недвижимости, ценных бумаг, произведений искусства) в виде цифровых токенов на распределённом реестре. Это породило понятие «токенизация активов», которое сегодня широко используется в сфере децентрализованных финансов (DeFi).

Виды токенизации

Токенизация данных

Это классический вариант, при котором замене подлежит чувствительная информация — номера карт, паспортные данные, медицинские записи. Существует два основных подхода:

Токенизация активов (Asset Tokenization)

В этом контексте токен — это цифровое представление права собственности на физический или финансовый актив, записанное в блокчейне (распределённом реестре). Типы активов:

Токенизация платежей

Наиболее массовая форма. В основе лежит стандарт EMV (Europay, Mastercard, Visa) — технология токенизации для бесконтактных платежей. При добавлении карты в мобильный кошелёк (Apple Pay, Google Pay, Samsung Pay) банк-эмитент генерирует уникальный цифровой токен — «устройственный номер счёта» (DPAN), который не совпадает с номером физической карты. При совершении платежа токен передаётся продавцу, а банк обрабатывает операцию, сопоставляя токен с реальным счётом. Таким образом, продавец никогда не получает данные основной карты. Токен привязан к конкретному устройству и может быть отозван при его утере или удалении карты из кошелька.

Устройство и принцип работы

В основе токенизации данных лежит простая архитектура:

  1. Источник данных (например, база данных банка) передаёт конфиденциальную информацию в систему токенизации.
  2. Генератор токенов создаёт случайную строку символов (токен) и связывает её с исходными данными в специальной записи токенового хранилища. Связь «исходные данные — токен» хранится только в этом хранилище.
  3. Исходные данные могут быть удалены из источника или оставлены только в хранилище. Внешние системы (например, сервисы продавца) получают только токен и используют его для идентификации клиента, заказа, транзакции.
  4. При необходимости обратного преобразования (например, для расчёта налогов или возврата платежа) запрос на детокенизацию поступает в хранилище, которое проверяет права доступа и, при подтверждении, возвращает исходные данные.

Токены обычно имеют определённый формат: например, для платёжных карт они часто состоят из 16 цифр, начинаются с той же цифры, что и исходный номер, и проходят проверку по алгоритму Луна. Формат сохраняется, чтобы продавец не менял свою систему.

Применение в России

В России токенизация используется преимущественно в двух сферах:

Токенизация активов в российской юрисдикции развивается в рамках законодательства о цифровых финансовых активах (ЦФА). По состоянию на 2025 год в России зарегистрированы и функционируют несколько платформ, выпускающих ЦФА: «Атомайз», «Сбербанк-А», «Лайтхаус». Они токенизируют доли в инвестиционных фондах, корпоративные облигации и дебиторскую задолженность. Регулятор — Банк России — требует, чтобы все операции с ЦФА проходили через уполномоченные информационные системы, а токены учитывались в депозитарии.

Преимущества и ограничения

Преимущества

Ограничения

Критика и риски

Основная критическая точка — уязвимость токеновых хранилищ. Хотя принцип токенизации делает бесполезными похищенные токены, хранилища остаются привлекательной целью для атак: если взломщик получит доступ к базе данных хранилища и к ключам для детокенизации, все данные будут раскрыты. В 2019 году компания FICO сообщала о случаях атак на токеновые системы, когда злоумышленникам удавалось скомпрометировать сам процесс генерации токенов.

Другая проблема — ложное чувство безопасности. Токенизация не защищает от утечек исходных данных на этапе их сбора (например, если продавец хранит не только токен, но и сам номер карты). Стандарт PCI DSS требует от продавцов либо не хранить данные вообще, либо токенизировать их, однако на практике многие хранят обе версии.

В сфере токенизации активов — отсутствие единой правовой базы. Платформы DeFi действуют в «серой зоне» регулирования: токены могут представлять собой ценные бумаги, но не проходить регистрацию в госорганах. В России любая токенизация активов без регистрации в реестре Банка России потенциально незаконна. С 2024 года ЦБ РФ запретил выпуск необеспеченных криптовалютных токенов для обхода финансового контроля.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →