超越防火墙：重新思考付款数据安全：詹姆斯·理查森（James Richardson）

在当今的数字经济中，保护敏感的业务支付数据不再仅仅是IT或国库部门的责任，而是战略业务的必要性。尽管ERP和CRM等企业系统通常具有强大的安全协议，但这些系统并未在真空中运行。付款数据经常在电子表格，共享驱动器和供应商门户网站上复制，存储和使用，这远远超出了核心系统的安全性。那就是真正的风险所在。

为什么传统防御能力不足

从历史上看，企业一直依靠分层的安全控制，例如加密，防火墙和访问政策来保护付款信息。但是，仅这些措施并不能消除分散数据的固有风险。

付款详细信息通常位于组织的多个位置（从共享文件夹到手动付款文件），因此很难跟踪谁具有访问权限，存储数据的位置以及如何使用。在这些不受控制的环境中，人为错误，系统设计差距和网络犯罪分子很容易利用弱点。

赌注很高。涉及银行帐户详细信息的数据泄露不仅损害声明并侵蚀客户信任，而且还可以使组织直接进行财务损失，欺诈恢复工作和监管审查。

付款代币化的上升

为了应对这一日益严重的威胁，另一种有效的方法是在B2B付款安全中获得关注：付款代币化。

Tokenisation用安全的，随机的代币替代了敏感的银行帐户信息 – 占位符，没有可利用的价值。这些令牌在高度安全的外部环境中在业务系统之外存储和管理。原始银行数据受到保护，而企业使用令牌来处理付款，就好像是真实的。

实际上，这意味着组织可以继续有效地进行付款，但没有内部持有真实的帐户数据。即使发生违规行为，攻击者也会获得毫无意义的代币，而不是可行的付款证书。

超越安全的战略收益

象征化的吸引力超出了防御欺诈的范围。它通过将敏感数据集中到一个紧密控制的位置来简化合规性和风险管理。这消除了数据蔓延，减少了审计的复杂性，并使金融团队更加安心。

拥护令牌化的组织也获得了运营的弹性。它们不仅依靠内部控制，而是通过将敏感的数据管理转移到专用，安全的基础架构来降低全身风险。这对于每天管理数千款付款或浏览复杂的多供应商网络的大型企业尤其有价值。

从利基到必要

尽管在卡支付系统中已经确定了Tokenisation，但其对银行帐户数据的采用才刚刚开始。目前尚无监管要求，但这开始发生变化。 PCI DSS等标准目前并未要求对银行详细信息进行命令，但是具有前瞻性的组织并不等待立法追赶。

欺诈，不断发展的网络威胁以及合作伙伴和监管机构的期望不断提高，都将令牌从利基解决方案推向了最佳实践标准。对于金融运营团队来说，这是保护声誉和收入的主动步骤。

战略当务之急

Tokenisation不仅是一种网络安全策略，而且是在不可避免的违规行为和声誉风险很​​高的景观中处理业务支付数据的一种更聪明，更有弹性的方法。它简化了依从性，增强治理，并大大降低了内部错误，第三方风险和日益复杂的攻击所带来的威胁。

现在是行动的时间。等待法规，重大违规或银行合作伙伴的授权的企业已经在后脚上。前瞻性组织正在积极地从其系统中删除敏感的银行帐户数据，而不仅仅是为了保护它，而是消除了首先持有它的需求。

不要等待危机重新考虑您的方法。 Tokenisation迅速成为现代支付安全策略的一个定义特征。如果您的企业处理付款，则该问：为什么要承担风险？