令牌化

令牌化是将敏感数据（例：卡号 4111-1111-1111-1111）替换为无意义的随机字符串（例：tok_a8f3b2c1d4e5）的技术。原始数据与令牌的对应关系保存在令牌保险库（安全数据库）中，仅在正规支付处理时才会还原。与加密的最大区别在于，令牌本身与原始数据之间没有数学关系。加密有密钥就能解密，但令牌没有密钥的概念，没有保险库的访问权限就无法还原。

Apple Pay 和 Google Pay 采用的网络令牌化中，由卡品牌（Visa、Mastercard）发行令牌。用户用智能手机支付时，只有令牌被发送到商家，实际卡号完全不会传递。此外，每笔交易都会生成一次性密文（密码文），即使令牌被截获也无法重复使用，形成双重防御结构。

对商户而言，令牌化最大的好处是减轻 PCI DSS（Payment Card Industry Data Security Standard）的合规负担。如果不在自己的服务器上存储卡号，PCI DSS 的适用范围将大幅缩小，可以降低审计成本和安全对策费用。使用 Stripe 或 Square 等支付服务，商户只需处理令牌，完全不接触卡号的设计成为可能。

对消费者而言，卡号泄露风险降低带来安心感。传统的在线支付中，卡号可能被保存在商户的服务器上，成为信息泄露事故的原因。在支持令牌化的支付中，即使商户的数据库被入侵，泄露的也只是令牌，卡号是安全的。需要重新发行卡片时，令牌也会自动关联到新卡号，省去了重新注册订阅服务等的麻烦。