Tokenisation

La tokenisation remplace une donnée sensible (numéro de carte bancaire, IBAN, identifiant) par un substitut aléatoire sans valeur exploitable (le "token"), la correspondance étant stockée dans un coffre-fort cryptographique séparé. Contrairement au chiffrement, le token n'est pas mathématiquement réversible : la seule façon de retrouver la donnée originale est d'interroger le coffre. Mandatée par PCI-DSS pour le PAN, recommandée par le NISTIR 8053 pour réduire la surface d'attaque des bases. Souvent combinée à FPE pour respecter les formats des systèmes legacy.